ESCUELA DE INFORMÁTICA TÉCNICO EN REDES DE DATOS Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS DP03 Ver. 02 NOMBRE Y APELLIDOS ESTUDIANTE ____________________________________________ COPIA NO CONTROLADA ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS TABLA DE CONTENIDO 1 Pag. INTRODUCCIÓN A WINDOWS...................................................................................... 6 1.1 1.2 1.3 2 RESEÑA HISTÓRICA ...................................................................................................................... 6 CARACTERÍSTICAS PRINCIPALES........................................................................................................ 6 BENEFICIOS .............................................................................................................................. 7 INSTALACIÓN WINDOWS SERVER 2008 ...................................................................... 8 2.1 REQUERIMIENTOS DE HARDWARE Y SOFTWARE ...................................................................................... 8 2.2 WINDOWS SERVER 2008 R2 (X64) SYSTEM REQUIREMENTS ..................................................................... 8 2.3 INSTALACIÓN DE WINDOWS SERVER 2008 R2 ...................................................................................... 8 2.3.1 Descripción de ediciones .................................................................................................... 8 2.3.2 Tipos de instalación ........................................................................................................ 10 2.4 PROCESO DE INSTALACIÓN EN PC ................................................................................................... 10 2.4.1 Instalación en PC – Descripción General ............................................................................ 10 2.4.2 Procedimiento ................................................................................................................ 11 2.4.3 Continuación del proceso de instalación ............................................................................. 11 3 PROCESO DE INSTALACIÓN EN FORMA VIRTUAL ...................................................... 12 3.1 MÁQUINAS VIRTUALES ................................................................................................................ 12 3.1.1 ¿Qué es una máquina virtual? .......................................................................................... 12 3.1.2 ¿Por qué una máquina virtual? ......................................................................................... 12 3.2 ¿CÓMO SE INSTALA UNA MÁQUINA VIRTUAL? ....................................................................................... 12 3.2.1 Introducción al VirtualBox ................................................................................................ 13 3.2.2 Proceso de instalación de VirtualBox ................................................................................. 13 3.2.3 Creación de una Máquina Virtual....................................................................................... 14 4 INICIO DE WINDOWS SERVER .................................................................................. 17 4.1 4.2 4.3 4.4 4.5 5 CUENTAS DE USUARIOS ............................................................................................ 19 5.1 5.2 6 INICIO DE SESIÓN EN WINDOWS SERVER 2008 R2 .............................................................................. 17 CLASES DE INICIO DE SESIÓN ........................................................................................................ 17 DESCRIPCIÓN DEL ENTORNO .......................................................................................................... 18 CERRAR SESIÓN DE TRABAJO ......................................................................................................... 18 SALIR DEL SISTEMA ................................................................................................................... 18 CUENTAS DE USUARIOS ............................................................................................................... 19 CREACIÓN DE USUARIOS ............................................................................................................. 21 PLAN DE CUENTAS Y DIRECTIVAS DE SEGURIDAD .................................................... 23 6.1 QUÉ ES UN PLAN DE CUENTAS ....................................................................................................... 23 6.2 LAS DIRECTIVAS DE SEGURIDAD ..................................................................................................... 23 6.2.1 Directivas de Bloqueo de Cuentas ..................................................................................... 24 6.2.2 Asignación de Derechos de Usuarios ................................................................................. 25 6.2.3 Procedimiento para aplicar o realizar un Plan de Cuentas ..................................................... 25 6.2.4 Probar el Plan de Cuentas Diseñado .................................................................................. 26 6.3 EJERCICIO .............................................................................................................................. 26 7 GRUPOS DE USUARIOS .............................................................................................. 28 7.1 INTRODUCCIÓN A LOS GRUPOS ....................................................................................................... 28 7.1.1 Definición ...................................................................................................................... 28 7.1.2 Clases de grupos ............................................................................................................ 28 7.2 CREACIÓN DE GRUPOS ................................................................................................................ 29 8 DIRECTORIO ACTIVO ................................................................................................ 32 8.1 8.2 8.3 8.4 8.5 8.6 ¿QUÉ ES EL DIRECTORIO ACTIVO – ACTIVE DIRECTORY (AD)? ................................................................. 32 CARACTERÍSTICAS DEL DIRECTORIO ACTIVO ....................................................................................... 32 DEFINICIÓN DE DOMINIO. ............................................................................................................ 33 COMPOSICIÓN DE LOS NOMBRES DE DOMINIO. ..................................................................................... 33 INSTALACIÓN DE ACTIVE DIRECTORY (DIRECTORIO ACTIVO) .................................................................... 35 VERIFICACIÓN DE SU CORRECTA CREACIÓN E INSTALACIÓN DEL ACTIVE DIRECTORY. ......................................... 37 2 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 8.7 9 DESINSTALACIÓN DEL DIRECTORIO ACTIVO. ....................................................................................... 38 USUARIOS DEL DIRECTORIO ACTIVO ........................................................................ 39 9.1 9.2 9.3 CREACIÓN DE USUARIOS ............................................................................................................. 39 USUARIOS EQUIVALENTES AL ADMINISTRADOR ..................................................................................... 40 PROPIEDADES DE LOS USUARIOS DE DIRECTORIO ACTIVO ........................................................................ 41 10 GRUPOS EN DIRECTORIO ACTIVO ............................................................................. 42 10.1 10.2 10.3 CREACIÓN DE GRUPOS ................................................................................................................ 42 ASIGNACIÓN DE USUARIO A UN GRUPO DE TRABAJO .............................................................................. 42 UNIDADES ORGANIZATIVAS .......................................................................................................... 43 11 CONEXIÓN DE CLIENTES AL DOMINIO ...................................................................... 45 11.1 11.2 11.3 11.4 PASOS PREVIOS. ....................................................................................................................... 45 CONFIGURACIÓN DE LA TARJETA DE RED DEL SERVIDOR.......................................................................... 45 CONFIGURACIÓN DE LA TARJETA DE RED DE LA ESTACIÓN DE TRABAJO ......................................................... 45 PASOS PARA REGISTRAR UN CLIENTE O ESTACIÓN DE TRABAJO. ................................................................ 46 12 EJERCICIO - TALLER .................................................................................................. 48 13 RECURSOS COMPARTIDOS ........................................................................................ 49 13.1 COMPARTIR UN RECURSO ............................................................................................................. 49 13.2 CONECTARSE A UN RECURSO COMPARTIDO ......................................................................................... 50 13.2.1 Desde el explorador de Windows. .................................................................................. 50 13.2.2 Buscando el Equipo en la Red........................................................................................ 50 13.2.3 Conectar un Recurso a una Unidad de Red ...................................................................... 50 13.3 RECURSOS OCULTOS .................................................................................................................. 51 13.4 COMO COMPARTIR UNA RECURSO EN FORMA OCULTA. ............................................................................. 51 13.5 COMPARTIR IMPRESORAS ............................................................................................................. 52 13.6 UTILIZAR IMPRESORAS COMPARTIDAS O DE RED ................................................................................... 52 14 PERFILES .................................................................................................................. 53 14.1 ¿QUÉ ES UN PERFIL? .................................................................................................................. 53 14.2 CREACIÓN Y MODIFICACIONES DE PERFILES ........................................................................................ 53 14.3 ACTIVIDAD DE PERFILES .............................................................................................................. 54 14.4 PERFILES MÓVILES .................................................................................................................... 55 14.4.1 Para crear un perfil móvil ............................................................................................. 55 14.4.2 Un perfil de usuario existente puede copiarse a otro usuario siguiendo estos pasos: ............ 55 15 SERVICIOS DE RED – DNS ......................................................................................... 56 15.1 ¿QUÉ ES EL DNS? .................................................................................................................... 56 15.2 DESCRIPCIÓN DEL SERVICIO DNS ................................................................................................... 56 15.2.1 Nombres de dominio .................................................................................................... 56 15.2.2 Descripción del espacio de nombres de dominio DNS ....................................................... 57 15.3 SERVIDORES DE NOMBRES DE DOMINIO ............................................................................................. 57 15.4 PROCESO DE RESOLUCIÓN DE NOMBRES............................................................................................. 58 15.5 ESTRUCTURA DE LA BASE DE DATOS DEL DNS ..................................................................................... 59 15.5.1 El registro SOA ............................................................................................................ 59 15.5.2 El registro A ................................................................................................................ 60 15.5.3 El registro NS .............................................................................................................. 60 15.5.4 El registro PTR ............................................................................................................ 60 15.5.5 El registro MX ............................................................................................................. 60 15.5.6 El registro CNAME ........................................................................................................ 61 15.6 RESOLUCIÓN INVERSA ................................................................................................................ 61 15.7 INSTALACIÓN DEL SERVIDOR DNS .................................................................................................. 62 15.8 CONFIGURACIÓN DEL SERVIDOR DNS .............................................................................................. 62 15.9 INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DE DNS ......................................................................... 62 15.10 CREACIÓN DE ZONAS DE BÚSQUEDA DIRECTA ..................................................................................... 63 15.11 CREACIÓN DE ZONAS DE BÚSQUEDA INVERSA ..................................................................................... 63 15.12 HERRAMIENTAS PARA CONSULTAR A UN SERVIDOR DNS .......................................................................... 64 16 SERVICIOS DE RED - DHCP........................................................................................ 65 16.1 16.2 ¿POR QUÉ UTILIZAR DHCP? ......................................................................................................... 65 FUNCIONAMIENTO DEL DHCP ........................................................................................................ 65 3 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 16.3 16.4 INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DE DHCP. ...................................................................... 65 CONEXIÓN DE UN CLIENTE DHCP ................................................................................................... 66 17 SERVICIOS DE RED - WINS ....................................................................................... 68 17.1 17.2 17.3 DESCRIPCIÓN DEL SERVICIO WINS ................................................................................................. 68 CLIENTES WINS ...................................................................................................................... 69 INSTALACIÓN DEL SERVICIO WINS ................................................................................................. 70 18 INTERNET E INTRANET ............................................................................................. 71 18.1 18.2 18.3 18.4 18.5 INTRODUCCIÓN A INTERNET E INTRANET ............................................................................................ 71 INTERNET INFORMATION SERVICES .................................................................................................. 71 INSTALACIÓN Y CONFIGURACIÓN DE INTERNET INFORMATION SERVER .......................................................... 72 EL ADMINISTRADOR DE INTERNET INFORMATION SERVER ......................................................................... 73 ADMINISTRACIÓN DE INTERNET INFORMATION SERVER ........................................................................... 73 19 SERVIDOR WEB ......................................................................................................... 76 19.1 19.2 19.3 19.4 19.5 19.6 19.7 19.8 ADMINISTRACIÓN DE SITIOS WWW ................................................................................................ 76 CREAR UN SITIO WEB ................................................................................................................. 76 PROPIEDADES DEL SITIO WEB ....................................................................................................... 77 DIRECTORIO PARTICULAR ............................................................................................................. 78 CREAR UN DIRECTORIO VIRTUAL ..................................................................................................... 82 PROPIEDADES DEL DIRECTORIO VIRTUAL ............................................................................................ 83 PERMISOS NTFS DE FICHEROS Y DIRECTORIOS .................................................................................... 83 PERMISOS DE ACCESO WEB .......................................................................................................... 83 20 SERVICIO FTP ........................................................................................................... 84 20.1 20.2 20.3 FUNCIONAMIENTO DEL SERVICIO FTP ............................................................................................... 84 ADMINISTRACIÓN DEL SERVIDOR FTP ............................................................................................... 85 CREACIÓN DE SITIOS FTP ............................................................................................................ 86 21 EJERCICIOS Y EJEMPLOS .......................................................................................... 87 4 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS PACTO PEDAGÓGICO 5 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 1 Introducción a Windows 1.1 Reseña histórica Desde el lanzamiento de los sistemas operativos de Redes, pasando por Windows NT, los sistemas se fueron perfeccionando a la medida de las necesidades de las empresas. Desde las ya conocidas diferencias que introdujo Windows 2000 sobre su predecesor Windows NT 4.0, llegamos hoy en día a un Sistema Operativo óptimo para las exigencias del mercado Informático, donde se han implementado notables mejoras con respecto a su predecesor Windows 2000 y Windows Server . En el caso de Windows Server 2008R2, éste está basado en experiencias del mercado consumidor Informático. La utilización de servidores basados en Windows 2008R2/2008/2003/2000/NT, permite un buen aprovechamiento de las posibilidades que pueden ofrecer la red corporativa. Windows 2008R2. Es una plataforma bastante adecuada para estas actividades. Durante este módulo estaremos haciendo una introducción a las nuevas características y funcionalidades de la familia de Servidores Windows Server 2008 R2. Al finalizar este capítulo Usted tendrá los conocimientos necesarios para describir funcionalidades, características, requerimientos de los distintos sistemas operativos de esta familia, así como su instalación y configuración básica. 1.2 Características principales Hay algunas diferencias (unas sutiles y otras no tanto) con respecto a la arquitectura del nuevo Windows Server 2008 R2, que pueden cambiar drásticamente la manera en que se usa este sistema operativo. Estos cambios afectan a la manera en que se gestiona el sistema hasta el punto de que se puede llegar a controlar el hardware de forma más efectiva, se puede controlar mucho mejor de forma remota y cambiar de forma radical la política de seguridad. Entre las mejoras que se incluyen, están: Nuevo proceso de reparación de sistemas NTFS: proceso en segundo plano que repara los archivos dañados. Creación de sesiones de usuario en paralelo: reduce tiempos de espera en los Terminal Services y en la creación de sesiones de usuario a gran escala. Cierre limpio de Servicios. Sistema de archivos SMB2: de 30 a 40 veces más rápido el acceso a los servidores multimedia. Address Space Load Randomization (ASLR): protección contra malware en la carga de controladores en memoria. Windows Hardware Error Architecture (WHEA): protocolo mejorado y estandarizado de reporte de errores. Virtualización de Windows Server: mejoras en el rendimiento de la virtualización. PowerShell: inclusión de una consola mejorada con soporte GUI para administración. Server Core: el núcleo del sistema se ha renovado con muchas y nuevas mejoras. 6 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Windows Server 2008 R2 proporciona una forma más eficiente de administrar y controlar el acceso a recursos locales y remotos, e integrándose a la vez. Windows Server 2008 R2 proporciona una plataforma Web escalable y más segura, y permite nuevos escenarios, entre los que se incluyen una administración más sencilla de servidores de sucursales, una administración mejorada de acceso e identidad, y una gestión de almacenamiento más eficiente. 1.3 Beneficios Más control, Mayor protección, Mayor flexibilidad Familias – Versiones La mayoría de las ediciones de Windows Server 2008R2 están disponibles (64 bits). Windows Server 2008R2 para sistemas basados en Itanium soporta procesadores IA-64. La versión IA-64 se ha optimizado para escenarios con altas cargas de trabajo como servidores de bases de datos y aplicaciones de línea de negocios (LOB). Por ende no está optimizado para su uso como servidor de archivos o servidor de medios. Microsoft ha anunciado que Windows Server 2008 R2 será el sistema operativo para servidores disponible en 64 bits. Windows Server 2008 R2 está disponible en las ediciones que figuran a continuación, similar a Windows Server. Server Core está disponible en las ediciones Web, Standard, Enterprise y Datacenter, aunque no es posible usarla en la edición Itanium. Server Core es simplemente una opción de instalación alterna soportada y en sí no es una edición propiamente dicha. Cada arquitectura dispone de un DVD de instalación independiente. Windows Server 2008 Standard Edition está disponible gratuitamente para estudiantes a través del programa Microsoft DreamSpark. 7 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 2 Instalación Windows Server 2008 El primer paso es la selección de la edición de Windows server y ver los requisitos de hardware de este. 2.1 Requerimientos de Hardware y Software Según la herramienta que se vaya a instalar se deben tener en cuenta los requerimientos mínimos de cada una de estas para evitar problemas al momento de la instalación y ejecución de la misma. 2.2 Windows Server 2008 R2 (x64) System Requirements Componente Requerimiento Procesador Mínimo: 1.4 GHz (x64) Memoria Mínimo: 512 MB RAM Máximo: 8 GB (Foundation) o 32 GB (Standard) o 2 TB (Enterprise, Datacenter, y Itanium-Based Systems) Espacio en Disco Mínimo: 32 GB o superior Pantalla Súper VGA (800 × 600) o monitor con resolución superior Otros Unidad DVD, Teclado, dispositivo apuntador, conexión a internet. 2.3 Instalación de Windows Server 2008 R2 En primera medida, se debe seleccionar la edición adecuada para realizar la instalación del sistema operativo, para este caso se decidió instalar la versión Enterprise de Windows server debido a su robustez y a que ofrece la mayor cantidad de características disponibles en cuanto a las demás ediciones. En todo caso a continuación se hace una descripción de cada una de las ediciones disponibles. 2.3.1 Descripción de ediciones Cada edición de Windows Server 2008 R2 ofrece una funcionalidad clave para dar soporte a todo desafío de TI y de alcance comercial. Windows Server 2008 R2 Foundation es una base tecnológica rentable y de nivel básico orientada a propietarios de pequeñas empresas y generalistas de TI que brindan soporte a pequeñas empresas. Foundation es una tecnología no costosa, fácil de desplegar, probada y confiable que ofrece a las organizaciones la base para ejecutar las aplicaciones comerciales más predominantes y compartir información y recursos. 8 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Windows Server 2008 R2 Standard es el sistema operativo de Windows Server más robusto hasta la fecha. Con capacidades de virtualización y Web mejoradas e incorporadas, está diseñado para incrementar la confiabilidad y flexibilidad de su infraestructura de servidor al tanto que ayuda a ahorrar tiempo y reducir costos. Las poderosas herramientas le ofrecen un mayor control sobre sus servidores y agilizan las tareas de configuración y administración. Además, las características de seguridad mejoradas funcionan para fortalecer el sistema operativo para ayudarle a proteger sus datos y redes y ofrecer una base sólida y altamente confiable para su empresa. Windows Server 2008 R2 Enterprise es una plataforma de servidor avanzada que ofrece un soporte más rentable y confiable para cargas de trabajo de misión crítica. Ofrece características innovadoras para la virtualización, ahorros en energía y manejabilidad y ayuda a facilitar el acceso de los empleados móviles el acceso a los recursos corporativos. Windows Server 2008 R2 Datacenter ofrece una plataforma de clase empresarial para desplegar aplicaciones comerciales críticas y virtualización a gran escala en servidores grandes y pequeños. Mejora la disponibilidad, optimiza la administración de energía e integra soluciones para empleados móviles y de sucursales. Reduzca los costos de infraestructuras al consolidar las aplicaciones con derechos de licenciamiento de virtualización ilimitados. Escale de dos a 64 procesadores. Windows Server R2 2008 Datacenter ofrece una base en la que se puede crear virtualización de clase empresarial y soluciones escalables. Windows Web Server 2008 R2 es una plataforma poderosa de servicios y aplicaciones Web. Con la presentación de Internet Information Services (IIS) 7.5 y diseñada exclusivamente como servidor orientado a Internet, ofrece una administración mejorada y herramientas de diagnóstico para ayudar a reducir los costos de infraestructura cuando se utiliza con una variedad de populares plataformas de desarrollo. Con roles de Web Server y DNS Server incluidos, como así también una confiabilidad y escalabilidad mejoradas, esta plataforma le permite administrar los entornos más exigentes, desde un servidor Web dedicado a un todo un centro de servidores Web. Windows HPC Server 2008*, la última generación de informática de alto rendimiento (HPC), ofrece herramientas de clase empresarial para un entorno HPC altamente productivo. Windows HPC Server 2008 puede escalar en forma eficiente a miles de núcleos de procesamiento e incluye consolas de administración que le ayudan a monitorear en forma proactiva y mantener la 9 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS salud y estabilidad del sistema. La flexibilidad e interoperabilidad de programación de trabajos permiten la integración entre plataformas HPC basadas en Windows y Linux y brinda soporte a cargas de trabajo de aplicaciones orientadas a servicios (SOA) y lotes. Windows Server 2008 R2 ofrece una plataforma de clase empresarial para desplegar aplicaciones comerciales críticas. Base de datos escalable, línea de negocios y aplicaciones personalizadas cumplen con las crecientes necesidades comerciales. Ayude a mejorar la disponibilidad con capacidades de agrupamiento ante fallas y partición dinámico de hardware.* Virtualice despliegues con derechos para ejecutarse con una cantidad ilimitada de instancias virtuales de Windows Server.** Windows Server 2008 R2 para sistemas basados en Itanium ayuda a ofrecer la base para una infraestructura de TI altamente dinámica. *Requiere hardware de servidor de soporte. **Requiere tecnología de virtualización de terceros. Hyper-V no está disponible para sistemas basados en Itanium. 2.3.2 Tipos de instalación Una vez cumplidos los requerimientos y de haber determinado el tipo de sistema operativo (Versión) a instalar, podemos proceder a instalar desde alguna de las siguientes locaciones Manualmente, desde una unidad de DVD-ROM o de Red compartida. Mediante un archivo de respuestas y la unidad de DVD-ROM o de Red compartida. Automatizada durante el inicio del sistema desde la Red con RIS (Remote Installation Services). Actualización del sistema operativo, mediante las características de instalación/mantenimiento de software con las directivas de grupo (Group Policy’s Software Installation and Maintenance, Intellimirror) o con SMS (Microsoft Systems Management Server). En caso tal de no tener un PC en donde instalarlo, se puede utilizar una utilidad provista por VirtualBox, la cual la podemos obtener desde el siguiente link. http://www.virtualbox.org/wiki/Downloads Para Virtual Box Este software permite crear Computadoras Virtuales dentro de su sistema y asignarle recursos de disco y memoria, es decir, una computadora dentro de su computadora. Ver Instalación de Windows Server 2008 en forma Virtual en esta unidad. 2.4 Proceso de instalación en PC 2.4.1 Instalación en PC – Descripción General Comencemos el proceso de instalación, lo que necesitamos inicialmente es un CD con el software de Windows Server 2008 R2, la clave del producto, un PC con las características apropiadas o en su defecto Virtual Box instalado… y manos a la obra. 10 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 2.4.2 Procedimiento Prendemos nuestro PC y colocamos el DVD con Windows Server 2008 R2, el equipo lee la BIOS y se prepara para iniciarse, recorriendo los dispositivos buscando los archivos necesarios para cargar un S.O., como éste no existe, llegará al DVD y se iniciará la instalación. Sencilla, ¿no? Pues dejamos que el asistente continúe con el proceso de cargue y el resto de la instalación se realizará de una forma más sencilla, a base de clics. 2.4.3 Continuación del proceso de instalación Selección del Idioma y Configuración Regional. Pantalla Inicial para la instalación En este momento tenemos todo lo necesario para continuar con la instalación del producto. Proceso de espera de cargue del asistente Escribimos la clave del producto correspondiente, es muy recomendable marcar la casilla de “Activar Windows Automáticamente”, sino se marca, se podrá hacer manualmente al terminar la instalación. En este momento debemos elegir la instalación que vamos a realizar: Instalación Completa o Server Core, en nuestro caso seleccionamos Instalación Completa. Aceptamos los términos de licencia Indicamos el tipo de instalación, en este caso seleccionamos Personalizada(Avanzada) Se debe indicar el disco duro y partición en la cual se va a instalar el Sistema Operativo, para nuestro caso en el espacio que aparece por defecto. El sistema comienza el proceso de instalación del sistema operativo, en este proceso se procede a descomprimir los archivos y luego se instalan en el disco duro seleccionado. Esperamos a que termine el proceso de instalación. Por último, después de unos minutos (más o menos entre 20 y 25 minutos), finaliza la instalación del Sistema Operativo en el Equipo. Luego de realizar los pasos anteriores, el sistema se reinicia y procede a indicarnos que el usuario Administrador no tiene contraseña, lo cual procedemos a suministrarla (debe ser de 7 caracteres y contener letras y números) y continuar con el proceso de carga del escritorio de Windows Server 2008. ¡Listo!, ya tenemos instalado nuestro Windows Server 2008 y listo para empezar a implementar funciones y servicios. 11 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 3 Proceso de instalación en Forma Virtual 3.1 Máquinas Virtuales 3.1.1 ¿Qué es una máquina virtual? En informática una máquina virtual es un software que emula a un computador y puede ejecutar programas como si fuera un computador real. Una característica esencial de las máquinas virtuales es que los procesos que ejecutan están limitados por los recursos proporcionados por ellas. Estos procesos no pueden escaparse de este "computador virtual". 3.1.2 ¿Por qué una máquina virtual? Uno de los usos domésticos más extendidos de las máquinas virtuales es ejecutar sistemas operativos para "probarlos". De esta forma podemos ejecutar un sistema operativo que queramos probar (Linux, por ejemplo) desde nuestro sistema operativo habitual (Windows por ejemplo) sin necesidad de instalarlo directamente en nuestro computador y sin miedo a que se desconfigure el sistema operativo primario, es decir que instalamos Linux dentro de nuestra máquina que corre Windows y al momento de dejar de usarlo tan solo borramos esa máquina virtual y listo, todo queda como si nunca hubiéramos tenido Linux. Como verán es ideal para quienes estudian informática o para quienes les gusta conocer otros sistemas operativos. Además podemos tener otras tareas ejecutándose en nuestra PC mientras experimentamos con el nuevo sistema operativo, como por ejemplo estar bajando películas de Taringa en nuestro Windows mientras aprendemos de Linux. 3.2 ¿Cómo se instala una máquina virtual? Los pasos son sumamente sencillos y en cada uno de los programas es igual: 1. Instalamos el programa para crear máquinas virtuales. 12 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 2. Creamos la máquina virtual dentro del programa dándole un nombre y contestando sobre qué tipo de sistema operativo vamos a emular. 3. Creamos un disco duro virtual, el cual es en realidad un archivo del tamaño que nosotros le especifiquemos. Recomiendo unos 8 Gb para un Linux Ubuntu con su instalación por defecto y te sobrará espacio para instalarle más cosas. 4. Opcionalmente podemos entrar en otras configuraciones como estipular el tamaño de la RAM que le vamos a asignar a esta máquina virtual por ejemplo, en caso que no estipulemos el tamaño de la RAM el programa tomará algún valor por defecto o simplemente usará una RAM dinámica donde tomará de nuestra memoria según sus necesidades. 5. Iniciamos la máquina virtual. Pero a esta altura la máquina no tiene nada instalado, tenemos que colocarle el sistema operativo y software que vayamos a usar. 6. Colocamos en nuestra unidad de CD, DVD o incluso unidad virtual (como la que generas con Alcohol 120% u otros programas por el estilo) el disco del sistema operativo que vayamos a instalar. 7. Instalamos todo y listo. 3.2.1 Introducción al VirtualBox VirtualBox es un software de Microsoft que permite instalar varios sistemas operativos en la misma máquina, sin tener que reiniciar Windows y además de forma segura, puesto que la partición de Windows no se verá afectada. Se utiliza para instalar diferentes ambientes de trabajos (Sistemas Operativos) en un mismo PC sin necesidad de adquirir nuevos equipos. Como la máquina virtual se genera en un archivo (realmente son varios contenidos en una carpeta), dichos archivos se pueden luego transferir a otros computadores con VirtualBox instalado, y la máquina virtual funcionara perfectamente, ahorrando tiempo y costos. 3.2.2 Proceso de instalación de VirtualBox Sistemas operativos compatibles: Windows Server 2008 R2 editions; Windows Server 2008, Standard Edition (32-bit x86); Windows Vista 64-bit Editions Service Pack 1; Windows Vista Business; Windows Vista Business 64-bit edition; Windows Vista Enterprise; Windows Vista Enterprise 64-bit edition; Windows Vista Service Pack 1; Windows Vista Ultimate; Windows Vista Ultimate 64-bit edition; Windows XP Service Pack 2; Windows XP Service Pack 3. Procesador: AMD Athlon/Duron, Intel Celeron, Intel Pentium II, Intel Pentium III, Intel Pentium 4, Intel Core Duo e Intel Core2 Duo 13 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Velocidad de CPU: Un equipo basado en x64 o x86 con un procesador de 400 MHz o más rápido (1 GHz recomendado) con caché L2. RAM: Añada el requisito de RAM para el sistema operativo host que vaya a utilizar al requisito del sistema operativo invitado que va a usar. Si utiliza varios sistemas operativos invitados al mismo tiempo, sume todos los requisitos para todos los sistemas operativos invitados que necesite ejecutar simultáneamente. Espacio disponible en disco: Para determinar el espacio que se necesita en el disco duro, sume los requisitos para cada sistema operativo invitado que se vaya a instalar. 1. Descargado el archivo respectivo según la versión del Sistema Operativo que tengamos instalado en nuestro PC, ejecutamos el archivo de instalación y nos aparecerá un asistente: 2. Damos a siguiente y veremos el contrato de licencia del programa: 3. Lógicamente aceptamos y seguimos con la instalación y pasamos a la siguiente fase: 4. Aquí podemos elegir la ruta de instalación en la que queremos instalar el programa, el programa nos ofrece una por defecto si queremos cambiar su ubicación, pulsamos en el botón Cambiar y elegimos la que más nos convenga. Una vez elegida la ubicación del programa ya solo nos queda comenzar con la instalación del mismo. 5. Presionamos clic en siguiente (next) para proceder con la instalacion del programa en nuestro equipo. 6. El asistente nos saca un mensaje indicando que las conexiones de redes actuales se desconectaran momentáneamente, al cual procedemos presionando clic en siguiente. 7. Ya estamos listos para instalar, procedamos a presionar clic en el boton Install para continuar 8. Si todo transcurre correctamente, aparecerá un cuadro de dialogo informándonos de que la instalación se ha efectuado correctamente: 9. Presionamos clic finalizar y ya tenemos instalado en nuestro equipo VirtualBox. 3.2.3 Creación de una Máquina Virtual Ahora ya solo nos queda crear una máquina virtual, nos vamos al menú inicio/programas y seleccionamos VirtualBox. Al arrancar la aplicación nos aparecerá una ventana dividida en dos: En la pantalla anterior vemos algunas máquinas previamente creadas, con varios sistemas operativos instalados en ellas. 3.2.3.1 Creación de máquinas virtuales en VirtualBox Pasos 1. Presionamos clic en el icono nueva 2. El asistente comienza su proceso y nos da la bienvenida al programa 3. Presionamos clic en Next para continuar con el proceso de creacion de una nueva máquina virtual. 14 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 4. Suministramos el nombre que equivale a el sistema operativo que queremos instalar, para nuestro ejemplo, escribiremos Windows 2008 R2. 5. Luego presionamos clic en Next y continuamos con la creación de la máquina e indicamos la memoria ram que va a tener nuesta máquina, por defecto son 512 de Ram para porder trabajar con Windows 2008. 6. Continuamos presionando clic en Next, para crear el disco duro que va a tener, si va a ser uno nuevo o vamos a utilizar uno ya existente. Para nuestro caso seleccionamos Crear disco virtual nuevo. Y presionamos clic en Next para continuar. 7. Procedemos a crear el disco duro virtual nuevo, es una especie de nuevo asistente para la creacion del mismo. 8. Presionamos clic en Next, para comenzar con el asistente. 9. Indicamos el tipo de almacenamiento, lo idea es utilizar el sugerido, Almacenamiento de expansion dinamica, con el fin de no limitar el tamaño del disco duro de la maquina virtual. 10. Debemos indicar el nombre para el disco duro y la ubicación del mismo, el programa sugiere como nombre para el disco duro el mismo nombre que se le coloco a la maquina y por defecto sera almacenado en la carpeta .virtualbox del usuario. 11. El tamaño sugerido para la instalacion de Windows Server 2008 R2 es de 30 gigas, las cuales aceptamos presionando clic en Next. 12. Llegamos por ultimo al resumen, en donde se muestra la informacion seleccionada con anterioridad y sobre todo la localizacion del disco duro. Presionamos cic en Terminar. 13. Luego pasamos entonces al resumen de la creacion de la máquina virtual 14. Procedemos a presionar clic en Terminar y el sistema nos crea la nueva máquina virtual en VirtualBox 3.2.3.2 Como instalar un Sistema Operativo en una Máquina Virtual. Para la instalación de un sistema operativo vamos a necesitar los siguientes elementos: CD/DVD del Sistema Operativo a instalar ó Imagen ISO con los archivos de instalación. Maquina VirtualBox previamente creada. 3.2.3.3 Instalación de Windows Server en VirtualBOX Luego de tener lo anterior, procedemos de la siguiente manera. 1. Introducir el CD/DVD en la respectiva unidad 2. Presionamos doble clic o cli el icono en la maquina virtual que queremos instalar . 3. Como es primera vez que activamos la maquina, se inicia un asistente para indicar el origen de los archivos de instalacion, en nuestro caso, de la unidad del anfitrion. 4. Presionamos clic en Next para continuar 5. Presionamos clic en Next para continuar 6. Presionamos clic en Terminar para continuar y el VirtualBox procede a comenzar con la instalacion del respectivo sistema operativo como se vio anteriormente. 15 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 3.2.3.4 Instalar <<Guest Additions>> Una vez que el sistema operativo está instalado, lo primero que debes hacer es instalar las <<Guest Additions>>, que son unas "cositas" que se instalan en la máquina virtual para simular la tarjeta gráfica, permitir que el ratón se comporte de forma "natural", además de permitir que uses el portapapeles para copiar/pegar desde la máquina virtual a tu equipo y viceversa. Para instalar las "additions", debes seleccionar el menú Dispositivos, la la opción Instalar <<Guest Additions>> y continuar con el asistente, esto hará que se inicie el programa de instalación de la V.M. Additions y una vez que se haya instalado lo que se deba instalar, pedirá que se reinicie el computador. 3.2.3.5 Combinación de teclas usadas en VirtualBox Tecla en Windows Ctrl + Alt + Supr Maximizar ventana Tecla en VirtualBox Ctrl-derecha + Supr Ctrl-derecha + f 3.2.3.6 Laboratorio Práctico El estudiante debe realizar una instalación de Windows Server 2008 y debe enviar un informe indicando los problemas presentados en él y como lo resolvió. 16 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 4 Inicio de Windows Server 4.1 Inicio de sesión en Windows Server 2008 R2 La Autenticación verifica la identidad de algo o alguien. La identidad de un usuario o equipo debe ser autenticada antes de que tengan acceso a archivos, carpetas, impresoras y aplicaciones. Este proceso consta de dos partes fundamentales: Las credenciales y la validación. Las credenciales son la combinación del nombre y contraseña de una cuenta, aseguran la identidad del aspirante al inicio de sesión, La validación confirma o deniega la validez de las credenciales, determinando el nivel de confianza concedida al aspirante. Caja de Dialogo Seguridad de Windows En Windows Server 2008 la combinación de las teclas Ctrl + Alt + Supr, es decir pulsar al mismo tiempo las teclas Control + Alt + Suprimir, muestra la ventana de inicio de sesión. 4.2 Clases de inicio de sesión Cuando el usuario, ósea nosotros, presionamos las teclas CTRL + ALT + SUPR o CTRL DERECHA + SUPR (si estamos trabajando en VirtualBOX), tenemos la posibilidad de hacer inicio de sesión en el equipo con Windows Server 2008 R2, que significa esto, que podemos ingresar a nuestro equipo y trabajar en él. Para trabajar en Windows Server 2008 R2 vamos a necesitar siempre un usuario y una contraseña, de tal manera que nos habilite la posibilidad de realizar tareas administrativas o para realizar trabajos en el equipo. Normalmente el único que tiene acceso al servidor es el Administrador del mismo solo por seguridad no se permite el inicio de sesión a usuarios diferentes al Administrador, en nuestro caso, vamos a utilizar el usuario Administrador y su respectiva contraseña. Los diferentes tipos de sesión de trabajo que podemos hacer son los siguientes: Inicio de sesión Local (Local logon): Este inicio es comprobado por la base de datos SAM (Security Accounts Manager) en el equipo físico o virtual donde se procede a iniciar la sesión, así como se tendrá acceso sólo a los recursos del mismo equipo. Inicio de sesión Dominio (Domain Logon): Este inicio es comprobado por un Controlador de Dominio (DC). Se tiene acceso a los recursos en el dominio y en cualesquiera dominios de confianza. Se inicia sesión en el dominio, las credenciales del usuario son cifradas y enviadas a un Domain Controller (DC), éste determina a qué grupos pertenece el usuario y devuelve un token1 de acceso y el usuario accede a la red. Una vez iniciado sesión de trabajo en el equipo, Windows nos presenta una pantalla en la cual se nos pide configurar las actualizaciones del sistema operativo, en caso tal se pueden configurar después y en su lugar se cierra esta ventana y se confirma su salida. 1 Token: Especie de tiquete para poder hacer uso de la Red y de sus recursos. 17 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Luego de cerrar la ventana de configuración de las actualizaciones, el proceso de inicio de sesión carga una ventana en la cual nos presenta una serie de opciones que podemos realizar, como es el de establecer la zona horaria, configurar las funciones de red y otras actividades. Esta ventana la podemos cerrar e incluso evitar que se vuelva a abrir, para esto presionamos clic en la parte de abajo, lado derecho de la misma ventana, “No mostrar esta ventana al iniciar sesión” y por ultimo presionamos clic en Cerrar. Luego el sistema termina de ingresar y nos muestra una ventana en la cual nos informa el estado actual del servidor indicando los servicios instalados así como su posible administración, esta ventana se llama Administrador del Servidor. Esta ventana se puede cerrar sin ningún problema y en caso de necesitarla procedemos de la siguiente forma para volverla a activar. Inicio/Herramientas Administrativas/Administrador del Servidor y la ventana vuelve a salir. 4.3 Descripción del entorno Windows Server 2008 R2, en cualquiera de sus versiones, contiene o presenta una pantalla clásica en donde visualizamos una barra de tareas, con los botones de Inicio que ya conocemos y un fondo con algunos iconos de aplicaciones o de herramientas. El comportamiento u operación del ambiente de Windows Server 2008 R2 es muy similar al de Windows XP o Seven, por tal motivo, no tendremos problema alguno para su operación, tiene al igual que Windows XP, un Administrador de Tareas cuyo funcionamiento es idéntico, de tal forma que podremos manejarlo sin ningún problema, el entorno grafico es muy similar al de Windows XP, obviamente, posee fondos diferentes y la distribución del menú principal varia en su presentación inicial. Posee un menú especial llamado Herramientas Administrativas, en el cual encontraremos todas las opciones de configuración y manipulación de las características o servicios que tenga instalado W2k8 o se vayan a instalar. 4.4 Cerrar sesión de trabajo En este caso seleccionaremos el menú Inicio/Cerrar Sesión, procede a cerrar sesión y solicitar de nuevo, el ingreso del nuevo usuario con su respectiva contraseña (Ver Inicio de Sesión). 4.5 Salir del Sistema Salir del sistema en realidad consiste en Apagar el Sistema, osea, apagar el equipo y no trabajar mas en el, solo basta con seleccionar Inicio/Apagar y en la seccion de Comentarios, se debe escribir un comentario indicando por que se va a apagar el computador o en su defecto se puede colocar un conjunto de caracteres cualquiera como por ejemplo xxxx y luego presionar clic en Aceptar. Comienza el proceso de apagado y el equipo despues de unos segundos se apaga. 18 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 5 Cuentas de Usuarios 5.1 Cuentas de Usuarios Los usuarios, hablemos de los usuarios, en este momento nuestro equipo es un equipo común y corriente en el cual podemos instalar y configurar cualquier programa que se quiera trabajar en él, resulta que es muy similar en esta parte a Windows XP, se pueden crear usuario para trabajar en él, de esa forma varias personas pueden trabajar en el equipo como una estación de trabajo común y corriente. Los usuarios, entonces, son nombres que identifican a las personas para diferenciar sus sesiones de trabajo en el equipo. Estos nombres pueden ser genéricos o pueden ser personalizados, es decir, cuando se habla de nombre de usuarios genéricos, se está hablando de nombres que hacen referencia a cargos de una empresa, a puestos de trabajo, por ejemplo: Si la empresa tiene el siguiente organigrama: Vemos como la empresa posee una división administrativa, de esa forma podemos crear los diferentes usuarios, así: Director General Director Comercial Jefe Producción Director Finanzas Comercial Contable o Contador Administrativo – No Administrador ya q se confundiría con el usuario Administrador del Sistema Operativo. Especialista Técnico Como podemos observar, los nombres son generales que hacen referencia al cargo o división de la empresa, la ventaja mayor es la poca administración que estos nombre de usuarios generales representa, es decir, supongamos que el contador de la empresa se retira, no habría necesidad de 19 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS crear un nuevo usuario para el nuevo contador que se contrate, solo bastaría con cambiar la contraseña y listo, el usuario quedaría listo para ser usado en segundos. La desventaja seria cuando el usuario a crear, pertenece a una sección de la empresa en donde se debe crear usuarios consecutivos, es decir, por ejemplo, operador1, operador2, operador3, operador… como vemos, existirían muchos usuario generales a ser usados por “cualquiera” y no habría control en el caso de que se presente una falla de seguridad en el sistema o en algún aplicativo que se esté trabajando, dirán Uds. “Pues al crear el usuario Operador1, 2, 3 o n, se le asigna a un empleado en concreto y de esa forma sabremos a cual empleado pertenece el usuario Operador que ha entrado al sistema” Puede ser verdad, pero dado el caso de que uno de esos empleados se retire, tocaría reasignar el usuario al nuevo empleado… ¿y si son 10 empleados o más, que por x o y motivo se retiran?... ¿ven a lo que me refiero? La administración se vuelve casi tediosa de hacerla, en estos casos debemos confiar en los empleados y dejar los nombres de usuarios genéricos. Se puede utilizar cualquier tipo de formato para la creación de los nombres de los usuarios, en algunos casos, los administradores de las redes se inventan un formato de acuerdo a la cantidad de usuarios o dependencias que tenga la empresa, es decir, si tenemos una división o departamento llamada operadores, los usuarios para esta sección posiblemente sean Operador1, Operador2, Operador3… Etc., o, OP1, OP2, OP3… OPN, en realidad las posibilidades son infinitas y personales. En el caso de usar nombres personalizados, los nombres de los usuarios llevan los nombres de los empleados o combinaciones de estos mismos, veamos un ejemplo. Nombre Empleado: Juan Carlos Calle Ochoa Posibles Usuarios: jcalle, jccalle, juancco, juancarlosco etc. Como podemos ver la combinación también puede ser infinita o más bien, muchas las posibles combinaciones a utilizar, en otros casos podemos usar la cedula del empleados seguida de la iniciales del nombre o solo utilizar la inicial del primer nombre y la del primer apellido seguido de la cedula… son combinaciones posibles… La ventaja de este tipo de nombres para usuario, es la de poder llevar un control más preciso de las actividades de un usuario en la Red, sabremos a ciencia cierta que usuario hizo algo y a qué hora… en caso de que se presente una anomalía o problema en la Red, sabremos “quien fue”. La desventaja seria que requiere de mucha administración debido a que si por ejemplo, el usuario Ljimenez, que es el contador de la empresa, cuando este se retire o se vaya de la misma, nos toca crear un nuevo usuario y asignarlo al área de contabilidad o de administración, otorgarle todos los permisos que necesita al igual que los aplicativos que va a usar y toda la información del Ljimenez se la debemos pasar a este nuevo usuario por que la necesita, como vemos es bastante laborioso lo que se nos presenta en cuanto a la administración se refiere… 20 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Vemos entonces que los dos modelos de nombres para usuario tienen sus ventajas y desventajas, la idea es que nosotros con el tiempo tendremos que usar alguno de ellos o en muchos casos usar los dos porque puede pasar… 5.2 Creación de Usuarios Vamos a ver la creación de usuario en Windows Server 2008 como estación de trabajo inicialmente, es decir, en forma local. Una vez determinado el formato de nombres a utilizar, se procede de la siguiente forma. 1. Inicio/Clic derecho sobre Equipo y seleccione Administrar 2. O, Haga clic en Inicio, Programas, Herramientas administrativas y en Administración de equipos. 3. Expanda Usuarios y grupos locales. Haga clic en Usuarios. En la ventana de la derecha, verá una lista de los usuarios actuales del servidor. Normalmente los únicos usuarios que deben de estar son el Administrador y el usuario invitado y este debe tener una Flecha Hacia Abajo indicando que esta deshabilitado. 4. Haga clic derecho en Usuarios y seleccione Nuevo usuario. 5. Introduzca la siguiente información: Nombre de usuario (requerido): todos los nombres de usuario debe ser único. Nombre completo (opcional): el nombre completo del usuario Descripción (opcional): una descripción del usuario Contraseña (requerido): le recomendamos que utilice al menos 7 caracteres y mezcla de letras mayúsculas, minúsculas y números para las contraseñas. Por ejemplo, ft5yH7 o qwe123*. Confirmar Contraseña (obligatorio): esta entrada debe ser idéntico al campo Contraseña. Para nuestro caso el nombre del usuario será Estudiante, el nombre completo igual y la descripción la misma. 1. Establezca las opciones que se adapte a sus necesidades: El usuario debe cambiar la contraseña en el siguiente inicio de sesión: Si está activada, el usuario debe cambiar su contraseña la próxima vez que inicio de sesión. Le recomendamos que desactive este modo que usted tenga el control total de la contraseña. El usuario no puede cambiar la contraseña: si la primera opción no está marcada, podrá establecer esta opción. Le recomendamos consultar esta opción de manera que sólo el administrador de la máquina puede modificar la contraseña de los usuarios. La contraseña nunca caduca: con esto determinamos que la contraseña nunca caducará y el sistema no le pedirá que la cambie. Cuenta deshabilitada: cuando está activada, el usuario ya no será válido, es decir, no se puede iniciar sesión de trabajo con él. 21 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Y siguiendo con el ejercicio, quitamos la marca de chequeo en El usuario debe cambiar la contraseña en el siguiente inicio de sesión y la colocaremos en la opción la contraseña no caduca 2. Haga clic en Crear para agregar el nuevo usuario y por ultimo clic en Cerrar. “De forma predeterminada, los usuarios nuevos se agregan al grupo de usuarios”. De esta forma vamos creando todos los usuarios que necesitamos crear para el manejo del Sistema Operativo. Solo falta iniciar sesión de trabajo con el o los nuevos usuarios creados, al iniciar sesión, el sistema nos muestra todos los usuarios que se han creado y con los cuales podemos iniciar sesión en nuestro equipo como lo muestra la imagen, en nuestro caso tendremos al usuario Administrador y a el usuario Estudiante. 22 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 6 Plan de Cuentas y Directivas de Seguridad 6.1 Qué es un Plan de Cuentas Se define como plan de cuentas, a un conjunto de disposiciones, normas o reglas que se toman para determinar el funcionamiento adecuado de las cuenta de usuario en la Red, estas disposiciones son llamadas Directivas de Seguridad y apuntan a determinar una mejor administración de la misma. 6.2 Las directivas de seguridad Directivas de contraseña Directivas de bloqueo de cuentas Asignación de derechos de usuario Y cada una de ellas permite determinas las características de funcionamiento de las cuentas de los usuarios en la Red. Veamos que comprenden cada una de ellas. Directivas de Contraseña: nos permite determinar el comportamiento de las contraseñas para los usuarios, tales como la longitud de la contraseña, duración de la misma, número de intentos, historial de las contraseñas, Etc. Veamos la definición de estas Directivas de Seguridad para la Contraseña Forzar el historial de contraseñas: determina el número de contraseñas nuevas únicas que un usuario debe utilizar para poder volver a usar una contraseña antigua. El valor de esta opción puede estar comprendido entre 0 y 24; si se establece en 0, se deshabilita la opción de forzar el historial de contraseñas. Vigencia máxima de la contraseña: determina el número de días que un usuario puede utilizar una contraseña antes de que se le obligue a cambiarla. El valor de esta opción puede estar comprendido entre 0 y 999; si se establece en 0, las contraseñas no caducan nunca. La definición de un valor bajo para esta opción puede resultar frustrante para los usuarios, y si el valor es demasiado alto o se deshabilita la opción, los piratas informáticos dispondrán de más tiempo para averiguar las contraseñas. Para la mayoría de las organizaciones, este valor debe estar establecido en 42 días. Vigencia mínima de las contraseñas: determina el número de días que un usuario puede conservar una nueva contraseña hasta que pueda cambiarla. Esta opción está diseñada para utilizarla junto con la opción Forzar el historial de contraseñas, de forma que los usuarios no puedan restablecer rápidamente sus contraseñas tantas veces como sea necesario para luego cambiar a sus contraseñas antiguas. El valor de esta opción puede estar comprendido entre 0 y 999; si se establece en 0, los usuarios podrán cambiar inmediatamente sus nuevas contraseñas. El valor recomendado es dos días. Longitud mínima de la contraseña: determina el número mínimo de caracteres que puede tener una contraseña. Aunque Windows 2000, Windows XP, Windows Server y Windows Server 2008 R2 admiten contraseñas de hasta 28 caracteres de longitud, el valor de esta opción sólo puede estar comprendido entre 0 y 14. Si se establece en 0, los usuarios podrán tener contraseñas en blanco, por lo que no debe utilizar este valor. El valor recomendado es 8 caracteres. Las contraseñas deben cumplir los requerimientos de complejidad: determina si la complejidad de las contraseñas es obligatoria. Si se habilita esta opción, las contraseñas de los usuarios deben satisfacer los siguientes requisitos: La contraseña debe tener seis caracteres como mínimo. 23 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS La contraseña contiene caracteres de al menos tres de las cinco Clase s siguientes: Caracteres en mayúsculas del alfabeto inglés (A – Z) Caracteres en minúsculas del alfabeto inglés (a – z) Dígitos en base 10 (0 – 9) Caracteres no alfanuméricos (por ejemplo:!, $, # o %) Caracteres Unicode La contraseña no contiene tres o más caracteres del nombre de cuenta del usuario. Si el nombre de cuenta es menor de tres caracteres de longitud, esta comprobación no se realiza porque la probabilidad de que se rechazaran las contraseñas es demasiado alta. Cuando se comprueba el nombre completo del usuario, varios caracteres se tratan como delimitadores que separan el nombre en elementos individuales: comas, puntos, guiones, caracteres de subrayado, espacios y tabuladores. Se buscará en la contraseña todos los elementos que tengan una longitud de tres o más caracteres. Si se encuentra alguno, se rechazará el cambio de contraseña. Por ejemplo, el nombre "Luis A Jimenez" se dividiría en tres elementos: "Luis", "A" y "Jimenez". Como el segundo elemento sólo tiene un carácter, se omite. Por tanto, este usuario no podría tener una contraseña que incluyera "luis" o "jimenez" como parte de la contraseña. En todas estas comprobaciones no se distingue entre mayúsculas y minúsculas. Estos requisitos de complejidad se exigen al cambiar la contraseña o al crear una nueva. Se recomienda que habilite esta opción. Almacenar contraseñas usando cifrado reversible proporciona compatibilidad a las aplicaciones que utilizan protocolos que necesitan conocer la contraseña del usuario para la autenticación. Almacenar contraseñas mediante cifrado reversible es básicamente lo mismo que almacenar versiones de texto sin formato de las contraseñas. Por este motivo, esta directiva no debe habilitarse nunca salvo que se considere más importante satisfacer los requisitos de las aplicaciones que proteger la información de las contraseñas. 6.2.1 Directivas de Bloqueo de Cuentas La directiva de bloqueo de cuentas deshabilita una cuenta de usuario si se escribe una contraseña incorrecta un número de veces especificado durante un período de tiempo dado. Esta configuración de directiva ayuda a impedir que los intrusos averigüen las contraseñas de los usuarios y reducen considerablemente la posibilidad de que los ataques a la Red puedan tener éxito. Se debe tener mucho cuidado con esta Directiva de Seguridad, por que se pude deshabilitar cuentas de usuarios autorizados por equivocación y en este caso ninguno de ellos podrá ingresar al sistema. Estas Directivas de Seguridad para Bloqueo de Cuentas son: - Duración de bloqueo de cuenta: Tiempo en minutos, en que deben aplicarse las condiciones de bloqueo, en este tiempo se acumulan el número de intentos. 24 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS - - Restablecer la cuenta de bloqueos después de Tiempo en minutos, en que la cuenta tardará en desbloquearse por sí sola, una vez desbloqueada, el número de intentos pasa a 0. Umbral de bloqueos de cuenta: Número de intentos antes de que se bloquee la cuenta 6.2.2 Asignación de Derechos de Usuarios Los derechos de usuario son tareas que un usuario puede llevar a cabo en un sistema, porque tiene permiso para ello. Existen dos tipos de derechos de usuario: derechos de inicio de sesión y privilegios. Con los derechos de inicio de sesión se controla quién tiene autorización para iniciar sesión en un equipo y el modo en que puede hacerlo, mientras que con los privilegios se supervisa el acceso a recursos de todo el sistema de un equipo. Un ejemplo de derecho de inicio de sesión es el derecho a iniciar sesión en un equipo de forma local. Un ejemplo de privilegio consistiría en el derecho a apagar el sistema. Estos derechos de usuario los asigna el administrador a usuarios individuales o a grupos como parte de la configuración de seguridad del equipo. Todo lo anterior forma parte del plan de cuentas que una Red. 6.2.3 Procedimiento para aplicar o realizar un Plan de Cuentas Primero que todo se debe realizar un diseño previo antes de ejecutar cualquier comando en el equipo. Este diseño debe contener lo siguiente: Formato (Modelo de nombres para los usuarios) a usar para los nombres de usuarios. Definir las directivas de contraseña (longitud, complejidad, historia, duración contraseñas, etc.). Definir el Bloqueo de Cuentas (duración del bloqueo de la cuenta, número de intentos antes de bloquear la cuenta, etc.). Definir los Derechos para los Usuarios (tareas u operaciones que pueden realizar en el equipo). Implementar solución. Una vez clarificado lo anterior, se procede a realizar o aplicar las definiciones por medio de las Directivas de Seguridad Locales. Luego de tener activa la ventana, se procede a aplicar cada una de las definiciones del plan de cuentas para los usuarios de la siguiente forma: 1. Seleccionar Directivas de Seguridad Locales (Inicio/Herramientas Administrativas/Directivas de Seguridad Local). 2. Seleccionar la directiva (Contraseñas, de Bloqueo o Asignación de Permisos). 3. Seleccionar la opción a modificar o permiso a otorgar. 25 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 4. Cada una de las opciones a modificar presenta diferentes pantallas o alternativas a configurar, se deben activar las adecuadas según la opción a modificar. Nota: En muchos de los casos se debe “Forzar” los efectos de los cambios en las Directivas De Seguridad Locales del equipo y para esto debemos realizar lo siguiente: Inicio/Ejecutar Escribir gpupdate y presionar clic en Aceptar. Luego de presionar clic en Aceptar, aparecerá una ventana (no dura mucho), indicándonos que las directivas se están actualizando y desaparecerá luego. Después cerramos la ventana de Directivas de Seguridad Locales y probamos nuestro plan de cuentas con los usuarios, para esto debemos iniciar sesión de trabajo con uno de los usuarios creados previamente. 6.2.4 Probar el Plan de Cuentas Diseñado Para probar el plan de cuentas realizado debemos hacer lo siguiente: Cerrar sesión de trabajo actual e iniciar una nueva con uno de los usuarios previamente creados. Se debe escribir su respectiva contraseña. El sistema creará un nuevo perfil (Ver más adelante) para dicho usuario, el cual se puede personalizar en cualquier momento. Debemos verificar si las directivas de seguridad que se crearon están aplicadas en el usuario. 6.3 Ejercicio Objetivo: analizar e implementar la mejor solución para una situación dada en una empresa o persona que utilice como sistema operativo Windows Server 2008 R2. Lea muy bien el siguiente enunciado y realice lo que a continuación se le solicita. Se tiene un equipo con sistema operativo Windows Server 2008 R2 instalado en el. Este equipo va a ser utilizado por varios usuarios, entre los cuales tenemos: Luis Alfonso Jiménez Piedrahita. María de los Ángeles Cifuentes Lopera. Pedro Antonio Martínez López Jacinto Benavidez Usted debe: Diseñar un Plan de Cuentas para dichos usuarios. Implementar un modelo para los nombres de los usuarios. Crear los usuarios en el Sistema. Crear un grupo y adicionar los usuarios antes creados. Iniciar sesión de trabajo con los usuarios anteriores. 26 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS La solución es: Plan de Cuentas: para nuestro ejercicio vamos a diseñar lo siguiente: Contraseñas Longitud contraseña: 5 caracteres Historial de contraseñas: 11 Vigencia de la contraseña: 33 días Complejidad para la contraseñas: Si Bloqueo de Cuentas Numero de oportunidades o equivocaciones: 2 Veces Duración bloque: 5 minutos Asignación de Derechos de Usuario Permitir el Apagado del sistema Permitir cambio de hora del sistema Permitir el Inicio de sesión local Modelo de Nombres de Usuario a Utilizar: Para este caso tomaremos las iniciales de los nombres seguido del primer apellido mas la inicial del segundo apellido: Nombre Usuario Usuario Luis Alfonso Jiménez Piedrahita lajimenezp María de los Ángeles Cifuentes Lopera macifuentesl Pedro Antonio Martínez López pamartinezl Jacinto Benavidez jbenavidez Creación de los usuarios y grupos de trabajo Para esto retomamos el procedimiento antes visto para la creación de usuarios y grupos de trabajo. Adición de usuarios al grupo de trabajo Ver procedimiento para asignación de usuarios al grupo Inicio de sesión de trabajo Cerrar sesión de trabajo e iniciar una nueva sesión con los usuarios antes creados. 27 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 7 Grupos de usuarios 7.1 Introducción a los grupos En muchos casos la administración requiere de tareas globales en lugar de particulares o individuales. La idea de utilizar los grupos es con el fin de agrupar a un conjunto de usuario u otros objetos y sobre el grupo aplicar acciones que afecten a todos en lugar de hacerlo en forma individual… uno por uno… pudiendo así, realizar actividades mucho más rápidas y efectivas. El manejo de grupos, administrativamente hablando, agiliza el trabajo del administrador de la Red, pudiendo realizar muchas más actividades grupales que afecten a todos los usuarios registrados en dichos grupos, de esta forma en lugar de hacer las tareas una por una, se hacen en forma global. 7.1.1 Definición Por definición, son objetos del equipo local que pueden contener usuarios, contactos, equipos a otros grupos. Sin embargo, en general, un grupo es normalmente una colección de cuentas de usuario. El objetivo de los grupos es simplificar la administración permitiendo al administrador de la red asignar derechos y permisos por grupo en lugar de a usuarios individuales. En otras palabras, un grupo es un nombre bajo el cual se agrupan cuentas de usuario y otros elementos con fines administrativos. 7.1.2 Clases de grupos Windows 2008 permite dos tipos de grupos: de seguridad y de distribución. Los grupos de seguridad son esencialmente los únicos grupos utilizados en Windows 2008 porque son los únicos grupos por medio de los que se pueden asignar permisos. A cada grupo de seguridad se asigna también un ámbito2 de grupo, el cual define cómo se asignan los permisos a los miembros del grupo y los grupos de distribución que no tienen seguridad activada y a los que no se pueden asignar permisos. Windows server 2008 trae una serie de grupos predefinidos de los cuales se describe un poco de ellos de los más importantes por ahora en la siguiente tabla. Grupo Operadores cuentas 2 Descripción Derechos de usuario predeterminados de Los miembros de este grupo pueden crear, modificar y Permitir el inicio de sesión eliminar cuentas de usuarios, grupos y equipos que se local; Apagar el sistema. encuentran en los en la Red. Los miembros de este grupo no tienen permiso para modificar los grupos Administradores o Administradores del dominio ni las cuentas de los miembros de dichos grupos. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Como este grupo tiene una autoridad considerable en el dominio, sea cuidadoso al agregar usuarios. Ámbito: el ámbito nos indica el alcance del grupo de trabajo que puede ser Global, Local y Universal. 28 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Administradores Los miembros de este grupo controlan por completo todos los controladores del dominio. De forma predeterminada, los grupos Administradores del dominio y Administradores de organización son miembros del grupo Administradores. La cuenta Administrador es miembro de este grupo de forma predeterminada. Puesto que este grupo controla por completo el dominio, agregue los usuarios con cautela. Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Cambiar la hora del sistema; Depurar programas; Forzar el apagado desde un sistema remoto; Permitir el inicio de sesión local; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otras actividades. Invitados De forma predeterminada, el grupo No hay derechos Invitados del dominio es un miembro de predeterminados. este grupo. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es un miembro predeterminado de este grupo. Operadores de servidores En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de seguridad y restaurar archivos, formatear el disco duro y apagar el equipo. Este grupo no tiene ningún miembro predeterminado. Dado que este grupo tiene mucha importancia para los controladores de dominio, agregue los usuarios con cautela. Usuarios Los miembros de este grupo pueden No hay derechos realizar las tareas más habituales, como predeterminados. ejecutar aplicaciones, utilizar impresoras locales y de red, así como bloquear el servidor. En este grupo vamos a encontrar a todos los usuarios que se vayan creando. de usuario Hacer copia de seguridad de archivos y directorios; Cambiar la hora del sistema; Forzar el apagado desde un sistema remoto; Permitir el inicio de sesión local; Restaurar archivos y directorios; Apagar el sistema. de usuario 7.2 Creación de grupos Un grupo local es una colección de cuentas de usuario en un único equipo. Las cuentas de usuarios han de ser locales al equipo, y los miembros de grupos locales solo pueden tener asignados permisos para recursos del equipo donde se creó el grupo local. Los grupos locales se pueden crear en cualquier equipo Windows 2008 excepto en controladores de dominio. En general, no es conveniente utilizar grupos locales en un equipo que es parte de un 29 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS dominio o, al menos, es mejor hacerlo con moderación. Los grupos locales no aparecen en el Active Directory, por lo hay que administrarlos independientemente en cada equipo individual. Para crear un grupo local, hay que seguir estos pasos: 1. Pulsar con el botón derecho del ratón en el icono Mi PC del escritorio y escoger Administrar en el menú contextual. 2. En el árbol de la consola hay que expandir Herramientas del sistema y después Usuarios locales y grupos. 3. Pulsar con el botón derecho en la carpeta Grupos y seleccionar Grupo nuevo en el menú contextual. 4. En el cuadro de dialogo Grupo nuevo hay que introducir el nombre del grupo. Se puede incluir una descripción si se desea. 5. Pulsar el botón Agregar, si se desean añadir miembros al grupo se puede hacer ahora, sino, pulsar Crear y el nuevo grupo se añadirá a la lista de grupos del panel de detalles. 6. En caso de añadir usuarios, el asistente nos presenta una ventana en la cual escribimos el nombre del usuario y: Después de escribir el nombre podemos presionar clic en el botón comprobar nombre para que el sistema busque o valide el nombre del usuario que se escribió. O, podemos presionar clic en el botón Avanzadas y luego el botón Buscar y el sistema nos mostrara todos los usuario que están registrados y de los cuales podemos seleccionar todos los que van a pertenecer al grupo. Luego presionamos clic en Aceptar y luego otra vez Aceptar y vemos ya el usuario o usuarios agregados al grupo, en nuestro caso se agregó el usuario Estudiante. 7. Luego presionamos clic en Crear y luego clic en Cerrar y el grupo es adicionado a la lista de grupos locales del equipo. Como podemos ver los procedimientos antes vistos de creación de usuarios y de grupos de trabajo, son bastante fácil de realizar y no tiene ningún pierde. Cuando se está administrando una red se debe llevar un control de todas las actividades o tareas que se realizan en las estaciones de trabajo o servidores… en nuestro caso vamos a crear una ficha control en donde iremos registrando todos los usuarios y grupos que vayamos creando en nuestro equipo y esta ficha control nos servirá tanto para trabajar localmente como para cuando estemos trabajando en modalidad de servidor. Esta ficha inicialmente va a contener los siguientes campos. Equipo (Estación o Servidor): Sistema Operativo: Usuario Nombre Completo Unidad Organizativa Grupo de Trabajo Perfil – Usuario Esta ficha control tiene la siguiente explicación: Usuario: es el nombre del usuario como tal creado o a crear. 30 Permisos – Grupo/Usuario Dominio ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Nombre Completo: es el nombre completo del usuario. Unidad Organizativa: Veremos la definición más adelante cuando estemos viendo Active Directory Grupo de Trabajo: es nombre del grupo al cual pertenece el usuario. Perfil del Usuario: Veremos la definición más adelante en perfiles de trabajo locales. Permisos – Grupo/Usuario: Mas adelante veremos su definición Dominio: Mas adelante veremos su definición De acuerdo a su apreciación personal, qué puede faltarle a la anterior tabla? Ejercicio práctico 31 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 8 Directorio Activo Hasta el momento hemos visto a Windows Server 2008 como una estación de trabajo o equipo independiente en la Red. De ahora en adelante lo vamos a ver en la faceta de servidor. En este orden de ideas, vamos a comenzar con la definición de lo que es un Directorio Activo. 8.1 ¿Qué es el Directorio Activo – Active Directory (AD)? El directorio activo lo podemos definir con una estructura en árbol en donde el sistema operativo permite administrar todos los elementos que componen la Red de una empresa, es un lugar similar a un directorio telefónico en donde vamos a encontrar todos los objetos relacionados con la Red. Toda esta información se almacena en una Base de Datos Central de tal forma que los administradores pueden utilizar esta información para establecer políticas de acceso a los recursos de la Red. El directorio activo se utilizar para administrar todos los recursos públicos localizados en la Red. 8.2 Características del Directorio Activo El directorio activo se caracteriza por lo siguiente: Escalabilidad Puede crecer y soportar un elevado número de objetos Integración con el DNS Los nombres de dominio son nombres DNS y tienen que estar registrados en él Active Directory usa DNS como servicio de nombres y de localización Es necesario instalar DNS antes de poder instalar Active Directory Extensible Permite personalizar las Clase s y objetos que están definidas dentro de Active Directory según las necesidades propias Seguridad Incorpora las características de seguridad de W2008-Server, por ejemplo, se puede controlar el acceso a cada objeto Multimaestro No distingue entre controladores de dominio primarios o secundarios Cualquier controlador de dominio puede procesar cambios del directorio Las actualizaciones o modificaciones realizadas en un controlador se replican al resto, siendo todos “iguales” Flexible Permite reflejar la organización lógica y física de la empresa u organización donde se instala Permite que varios dominios se conecten en una estructura de árbol o de bosque 32 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 8.3 Definición de Dominio. En las redes actuales, con la aparición de los nuevos sistemas operativos para redes, aparecen nuevos conceptos, estos conceptos revolucionan el mundo de las redes y debemos adoptarlos y hacer uso de ellos en nuestras funciones diarias. Uno de los conceptos nuevos es Dominio. Resulta que el Dominio es un nombre con el cual identificamos la Red de una empresa. Recordemos que un Red está conformado por el Servidor, las estaciones de trabajo, usuarios, impresoras, el mismo sistema operativo, etc. Todo lo anterior estaría referenciado por un nombre y ese nombre es el Dominio. Entonces, los Dominios en la actualidad, fuera de representar el nombre de una Red corporativa, hace referencia en Internet a un Servidor que aloja un Sitio Web(Web Site) al cual accedemos desde Internet, básicamente el nombre del Dominio de una Red corporativa es igual al nombre o Sitio Web en Internet de la misma empresa. De todas formas no es necesario que sean iguales, se puede tener un Dominio diferente en Internet y otro diferente para la Red corporativa. 8.4 Composición de los nombres de dominio. Los nombres de Dominio tiene la siguiente estructura de nombres: Nombre: es el nombre que le vamos a dar al Dominio. Clase de Dominio: es una identificación que se hace a nivel mundial utiliza para clasificar los diferentes tipos de Dominios, en la actualidad existen diversos tipos de Dominio como por ejemplo: Clase de Dominio .es .eu .ru .mx .co .edu .gov y .gob .mil .net .fm .tv Utilización Para servicios de España Región de Europa Servicios en Rusia Servicios en México Servicios en Colombia Orientado al sector de la educación Referente a sitios del Gobierno y entidades publicas Ejército Americano Servicios de Red Estaciones de Radio Estaciones de Televisión Sufijo del País: es parte de la Clase de Dominio y algunos de ellos son utilizados como sufijo indicador del país al cual pertenece el Dominio. Ejemplo de nombres de Dominios. Nombre Cocacola ElColombiano Cesde Eafit Clase de Dominio .Com .Com .Edu .Edu 33 Sufijo País Ninguno .co (Opcional) .co .co ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Para solo colocar algunos, existe un Dominio que se llama .Local, el cual resulta de no colocarle la Clase de Dominio al Dominio, entonces lo que hace el sistema operativo es que le coloca el .Local. Ejemplo: EmpresaXYZ.local Microsoft recomienda colocarle la Clase de Dominio al Dominio de la Red corporativa, ya que podría convertirse en algún momento en un Servidor Conectado a Internet y por ende, ser un Web Site o Sitio Web. La única diferencia que vamos a encontrar entre un Dominio de Internet con un Dominio Empresarial es el hecho de que el Dominio de Internet comienza con WWW y el de la empresa o Red no. Podemos entonces representa un Dominio de la siguiente forma o figura: Dominio A Dominio B Cada una de las figuras anteriores representa un Dominio, según esto, entonces tendríamos dos Dominios… Dominio A y Dominio B. Otro de los términos que debemos entender es el de Controlador de Dominio, es la figura central de la Red, es decir, es el Servidor, es el equipo principal de la Red, el que contiene toda la información de la Red, información como la de los usuarios que están creados, así como los grupos de trabajo, unidades organizativas, equipo conectados al Dominio, Impresoras y demás objetos que se pueden registrar en un Dominio. Entonces un Dominio debe tener un Controlador de Dominio, entendiendo bien la cosa, tenemos entonces que una Red corporativa está representada por un nombre y a ese nombre le llamaremos Dominio el cual posee como mínimo un Controlador de Dominio, ósea, un Servidor. Dominio B CD=Controlador de Dominio Dominio A CD=Controlador de Dominio 34 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Por último tenemos el termino Servidores Miembros, estos son servidores o equipos con sistema operativo instalado pero que no ejercen ninguna función de control en la Red, son simplemente equipos cuya función es limitada o nula, solo hace parte de la Red como servidores prestadores de servicios básicos como almacenamiento de datos, servidor de archivos o de impresoras, etc. 8.5 Instalación de Active Directory (Directorio Activo) Continuando con lo que ya hemos hecho, vamos entonces a proceder a la instalación del Directorio Activo, Dominio o Controlador de Dominio en nuestro PC, en su defecto lo podemos hacer en el PC Virtual creado con VirtualBOX. Antes de proceder con la instalación, se debe realizar lo siguiente: Configuración de la Tarjeta de Red. Presionamos clic el icono red y luego seleccionamos Centro de Redes y Recursos Compartidos Icono de Red a) Luego seleccionamos Ver Estado, el cual nos lleva la ventana de estado de la conexión de área local y de ahí seleccionamos propiedades de la tarjeta de Red. b) En esta ventana de propiedades del TCP/IP, seleccionamos el protocolo de Internet versión 4 (TCP/IPv4) y desactivamos el de la versión 6 (TCP/IPv6). Nota: en su defecto podemos seleccionar la opción Administrar conexiones de red y sobre la conexión de red que tenemos, presionamos clic derecho y seleccionamos Propiedades/Procolo de Internet Versión 4(TCP/IPv4) y llegamos a la misma ventana. a) Seleccionamos la opción Usar la siguiente dirección IP. Y podemos usar la siguiente: Dirección IP: 192.168.1.100 Mascara de Subred: 255.255.255.0 Puerta de Enlace: 192.168.1.100 Servidor DNS Preferido: 192.168.1.100 Servidor DNS Alternativo: Vacio b) Presionamos clic en Aceptar, Cerrar y en Cerrar, y por último cerramos la ventana de Centro de Redes y Recursos Compartidos. Explicación: resulta compañeros que cuando estamos creando el Directorio Activo, el servidor necesita de una dirección IP fija con la cual configura todos los servicios en el servidor en especial, el servicio de DNS que es de vital importancia en una Red. 35 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Más adelante se hablará del mismo tema, por ahora procedamos a colocar los datos anteriores. Luego de configurar la tarjeta de Red con la IP fija, seguimos con procedimiento de instalación del Dominio con su Active Directory que es muy sencillo. 1. Seleccionamos la opción ejecutar o búsqueda y escribimos el comando DCPROMO, este comando nos permite instalar nuestro Controlador de Dominio y de una vez nos instala el Active Directory y el DNS. 2. El asistente verifica que los Servicios del Active Directory estén instalados y en caso de no estarlos, procede a realizar la instalación. 3. Desde pues de instalar los servicios del Active Directory, da comienzo al asistente de instalación del Dominio, al cual presionamos clic en Siguiente para continuar. 4. El asistente no presenta una ventana informándonos de la compatibilidad del sistema operativo con las versiones anteriores, presionamos clic en Siguiente. 5. Determinamos la configuración de Dominio a instalar, Bosque Existente o Crear un Dominio nuevo en un Bosuqe nuevo, en nuestro caso sería la segunda opción y luego presionamos clic en Siguiente. 6. Debemos escribir el nombre de nuestro Dominio con la extensión que hayamos elegido para el mismo, para nuestro ejemplo se llamara Clase .Net y luego presionamos clic en Siguiente. 7. El asistente procede a veficar que el nombre seleccionado para nuestro Dominio no este usándose en la red. 8. Determinamos el nivel de funcionalidad del Dominio, es para determinar si vamos a trabajar solo con servidores Windows 2008 R2 o vamos a trabajar con otras versiones anteriores, por defecto está el nivel funcional con Windows 2000, 2003, 2008 Server, nosotros vamos a utilizar Windows Server 2008 R2 y luego presionamos clic en Siguiente. 9. Debemos verificar que la opcion DNS este seleccionada ya que es muy importante instalarlo a inicio, presionamos entonces clic en Siguiente. 10. El asistente nos muestra un mensaje informándonos que no se puede crear una delegacion para el servidor DNS porque no encuentra un DNS que se este ejecutando en el equipo y que debemos crear una manualmente, este mensaje sale porque es primera vez que se está instalando, para continuar presionamos clic en Si 11. Se nos permite indicar el lugar en donde se van a instalar la Base de Datos del Active Directory y todos sus compomentes que por defecto es en la carpeta C:\Windows\... dejamos tal y cual esta y presionamos clic en Siguiente. 12. Se pide una contraseña a utilizar en caso de tener que reparar el Active Directory, debemos colocar una la cual puede ser la misma que se le coloco al usuario Administrador. Presionamos clic en Siguiente. 13. Por ultimo llegamos al resumen de la instalación y presionamos clic en Siguiente ya que estamos listos y seguros de lo que vamos a instalar. El proceso de instalación comienza y nos coloca una ventana indicando todo lo que el asistente va instalando, finalizado el proceso de instalación, el asistente reinciará el computador. 36 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Una vez reiniciado el computador, el Dominio ya queda instalado y nos presenta la siguiente ventana en la cual se aprecia el nombre del Dominio (Clase ) instalado y seguido el nombre del usuario Adminsitrador. En estos momentos tenemos ya listo uno de los elementos que conforman una Red, el servidor, claro está que antes de convertirlo era una estación de trabajo que paso a ser servidor de la Red. 8.6 Verificación de su correcta creación e instalación del Active Directory. Una vez creado e instalado el Directorio Activo, debemos verificar si quedo correctamente instalado y funcionando, para esto debemos realizar la siguiente verificación. Verificar que la configuración de la tarjeta de red no se haya modificado, en caso tal, debemos volver a colocar los datos previamente ingresados. Recordemos entonces, que para hacer hay que hacer los siguiente: Configuración de la Tarjeta de Red. a) Debemos entrar a las propiedades del protocolo TCP/IP y verificar que los datos suministrados anteriormente este iguales, en caso de haber alguna cambio, debemos corregirlos. b) Los datos de la tarjeta de Red debes ser los siguientes: Dirección IP: 192.168.1.100 Máscara de Subred: 255.255.255.0 Puerta de Enlace: 192.168.1.100 Servidor DNS Preferido: 192.168.1.100, posiblemente la configuración que aparece es 127.0.0.1, debemos cambiarla a la sugerida. Servidor DNS Alternativo: Vacío c) Presionamos clic en Aceptar, Cerrar y en Cerrar. Luego vamos a activar la consola de comandos o símbolo del sistema, al realizar esto se abre una ventana tipo DOS, es decir, una ventana de fondo negro y letra blanca y en la cual vamos a escribir lo siguiente con el fin de verificar si el Dominio, Directorio Activo o controlador de Dominio quedó bien creado y funcionando correctamente. Ping Clase .Net y presionamos Enter, el comando realiza una petición al DNS para verificar que el nombre del Dominio está bien registrado y nos debe dar respuesta(4) positiva(s) en su defecto nos da una respuesta(4) negativa(s) indicando que no encuentra el Domino respectivo. Salimos entonces de la ventana de comandos o símbolo del sistema escribiendo el comando EXIT y presionamos luego Enter. Vemos entonces que tenemos respuesta satisfactoria por ende el Dominio quedo instalado. bien creado e También debemos verificar que las funciones del Active Directory y DNS estén instaladas, para esto abrimos el programa Administrador del Servidor. 37 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 8.7 Desinstalación del Directorio Activo. Bueno ya hemos visto como se instala un Controlador de Dominio, Active Directory o Dominio, ahora debemos ver como se desmonta o se elimina un Dominio. El proceso es sencillo, basta con seguir el procedimiento inicial para la creación de un Dominio pero en lugar de instarlo se selecciona que se va a quitar y se continúa con el proceso de desinstalación. Procedimiento a Seguir 1. Quitar los servicios de Active Directory 2. Quitar el DNS 3. Desmontar el Controlador de Dominio 4. Eliminar la carpeta de DNS del disco duro NOTA: Otra forma de desinstalar el Directorio Activo es por medio del comando DCPROMO desde la ventana de Ejecutar y le adicionamos el parámetro /forceremoval. 38 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 9 Usuarios del Directorio Activo Ya hemos visto la introducción, definición y creación de usuarios en forma local, básicamente cuando tenemos instalado el Directorio Activo o Dominio, el manejo de los usuario es lo mismo. Vamos a ver en qué se diferencian. Todo se administra dentro de la herramienta Usuarios y Equipos del Active Directory, en esta herramienta podemos tener acceso a la base de datos en donde se va a almacenar todos los objetos que van a conformar la Red corporativa, estos objetos son Usuarios, Grupos de Trabajo, Unidades Organizativas, Estaciones de Trabajo, Controladores de Dominio, etc. Expliquemos un poco el contenido de la ventana de Usuarios y Equipos del Active Directory… como primera instancia, en esta ventana encontramos el nombre del Dominio (en este caso AcmeVirtual.Com), seguido de unas carpetas que por defecto se crean cuando se instala el Directorio Activo, estas carpetas son Builtin, Computers, Domain Controllers, ForeignSecurityPrincipals y Users. Desde que no se especifique otra cosa, todo la administración de una Red se realiza con estas carpetas. Para efecto de nuestra Clase , vamos a estar trabajando en la carpeta Users, en ella vamos a crear nuestros usuarios y grupos de trabajo, esta carpeta por defecto contiene unos usuarios propios del Directorio Activo y unos Grupos de Trabajo que más adelante vamos a estudiar. Esta herramientas la vamos a estar trabajando bastante de ahora en adelante en la mayoría de nuestras actividades administrativas de la Red. 9.1 Creación de Usuarios Vamos a ver la creación de usuario en Windows Server 2008 R2 como Controlador de Dominio o Servidor de la Red. Una vez determinada el formato de nombres a utilizar, se procede de la siguiente forma. Haga clic en Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory. 1. Haga clic en Users. En la ventana de la derecha, verá una lista de los usuarios actuales del Controlador de Dominio. Normalmente los únicos usuarios que deben de estar son el Administrador y el usuario Invitado y este debe tener una X indicando que esta deshabilitado. 2. Haga clic derecho en Users y seleccione Nuevo, Usuario. 3. Introduzca la siguiente información: Inicialmente la ventana nos permite ingresar los datos básicos del usuario que vamos a crear y debemos ingresar esta información que más adelante nos puede servir cuando estemos realizando alguna gestión administrativa que lo requiera, la información a ingresar es: Nombre, Apellidos, Nombre Completo e Iniciales(Opcional). Nombre de Inicio de Sesión de Usuario: este es en realidad el nombre del usuario que vamos a utilizar para iniciar sesión de trabajo en el Controlador de Dominio o en las Estaciones de trabajo 39 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS para acceder a los recursos de la Red desde una estación de trabajo. Como pueden ver, el nombre del usuario va a quedar asociado a el nombre de Dominio actual y automáticamente se le va a crear una alias para el buzón del Correo electrónico cuando lo instalemos ([email protected]). En la parte de abajo vemos que también se crea un nombre de usuario compatible con sistemas anteriores al actual. Luego presionamos Clic en Siguiente, y procedemos a ingresar la contraseña, esta contraseña tiene las características, debe ser de mínimo 7 caracteres, debe tener letras, números y caracteres especiales. Por ejemplo, ft5yH7 o qwe123*. 1. Establezca las opciones que se adapte a sus necesidades: El usuario debe cambiar la contraseña en el siguiente inicio de sesión: Si está activada, el usuario debe cambiar su contraseña la próxima vez que inicio de sesión. Le recomendamos que desactive este modo que usted tenga el control total de la contraseña. El usuario no puede cambiar la contraseña: si la primera opción no está marcada, podrá establecer esta opción. Le recomendamos consultar esta opción de manera que sólo el administrador de la máquina puede modificar la contraseña de los usuarios. La contraseña nunca caduca: esto indica que la contraseña que se le coloque al usuario nunca va a caducar. Cuenta deshabilitada: cuando está activada, el usuario ya no será válido. Y siguiendo con el ejercicio, chequearemos la opción la contraseña no caduca 2. Haga clic en Crear para agregar el nuevo usuario y por ultimo clic en Finalizar “De forma predeterminada, los usuarios nuevos se agregan al grupo de Usuarios del Dominio”. 3. El procedimiento se realizar para cada uno de los usuario que se vayan a crear en el Dominio. 9.2 Usuarios equivalentes al Administrador Es bueno tener siempre a la mano un usuario diferente al Administrador, con las mismas características, con el fin de tener una segunda alternativa o usuario para administrar el Dominio y seguir trabajando con este usuario en lugar de usar el usuario Administrador, es un buen método de seguridad que actualmente usamos. El procedimiento para crear un usuario equivalente al Administrador es el siguiente: 1. Activamos la herramienta 2. Seleccionamos la carpeta seleccionamos la opción usuario (la misma forma Usuarios y Equipos del Active Directory Users, sobre el usuario Administrador, presionamos clic derecho y Copiar, el sistema procede a pedirnos los datos para el nuevo vista anteriormente) la diferencia es que el nuevo usuario queda 40 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS con todas las características del usuario Administrador, con todos los privilegios, permisos, derechos y funciones. 9.3 Propiedades de los usuarios de Directorio Activo Ya teniendo instalado el Dominio, las propiedades de los usuarios cambian sustancialmente, se incrementan las opciones o propiedades que sobre ellos recaen. Vamos a describir algunas de ellas, las que nos interesaran por el momento y las otras las vemos después en su debido momento. Ficha de Cuenta: esta ficha de propiedades contiene la información de la cuenta del usuario que anteriormente vimos, esta información es el nombre del usuario, opciones de la cuenta, si caduca o no caduca la cuenta, la hora de inicio de sesión e iniciar sesión en… De esta ventana nos interesa más que todo la opción Hora de Inicio de Sesión que nos permite indicar el horario de trabajo para el usuario de tal manera que fuera de dicho horario no pueda ingresar a la Red. La caducidad de la cuenta, el indicar desde donde puede el usuario iniciar sesión, ya que es muy útil para “encasillar” o restringir al usuario para que su inicio de sesión solo sea desde loso equipos que nosotros lo indiquemos. Ficha Perfil: la cual utilizaremos cuando veamos un poco más los perfiles para los usuarios. De resto, las demás fichas son más bien de información que veremos más adelante por medio de un ejercicio. 41 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 10 Grupos en Directorio Activo Los grupos dentro del Directorio Activo, se diferencian de los grupos locales en que estos se utilizan para mejorar la administración de la Red y sus recursos. Ver introducción a los Grupos de Trabajo en el Módulo Anterior. 10.1 Creación de grupos Para la creación de grupos de trabajo en el Directorio Activo, vamos a realizar el siguiente procedimiento. 1. Haga clic en Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory. 2. Haga clic en Users. En la ventana de la derecha, verá una lista de los grupos actuales del Controlador de Dominio. 3. Haga clic derecho en Users y seleccione Nuevo, Grupo. 4. El sistema nos presenta una ventana, ver imagen 41, en la cual se debe colocar el nombre del grupo de trabajo así como su descripción y debemos, adicionalmente, indicar el ámbito del grupo (Dominio Local o Global) y el tipo de grupo de trabajo que va a ser (Seguridad o Distribución), normalmente cuando trabajamos con un Dominio, el ámbito es Global y el Tipo es Seguridad. 5. Luego de indicar lo anterior, presionamos clic en Aceptar. El grupo de trabajo ya queda creado, lo único que nos hace falta es asignar los usuarios que van a pertenecer a dicho grupo de trabajo. 10.2 Asignación de Usuario a un Grupo de Trabajo 1. Primero que todo debemos presionar doble clic en el nombre del grupo de trabajo 2. Seleccionar la ficha Miembros, y presionar clic el botón Agregar, el asistente nos presenta la siguiente ventana en la cual escribimos el nombre del usuario y: Después de escribir el nombre podemos presionar clic en el botón comprobar nombre para que el sistema busque o valide el nombre del usuario que se escribió. O, podemos presionar clic en el botón Avanzadas y luego el botón Buscar y el sistema nos mostrara todos los usuario que están registrados y de los cuales podemos seleccionar todos los que van a pertenecer al grupo. Luego presionamos clic en Aceptar y luego otra vez Aceptar y vemos ya el usuario o usuarios agregados al grupo, en nuestro caso se agregó el usuario Estudiante. Como podemos ver, el procedimiento es similar al antes visto, único que cambiaría es el ámbito, ya deja de ser local y pasa a ser de Dominio. 42 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 10.3 Unidades Organizativas Una Unidad Organizativa (Organizational Unit, OU), es un contenedor de objetos, es similar a una carpeta o directorio en un sistema de archivos tradicional. Dentro de una Unidad Organizativa pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., además de otras unidades organizativas. El objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupándolos de forma coherente. En el Directorio Activo, las unidades organizativas permiten: 1. Delegar la administración. Cada Unidad Organizativa puede administrarse de forma independiente. Se puede otorgar la administración total o parcial de una Unidad Organizativa a un usuario o grupo de usuarios cualquiera. Esto permite delegar la administración de subconjuntos del Dominio a ciertos usuarios que posean el nivel de responsabilidad adecuada. 2. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada Unidad Organizativa pueden vincularse políticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en función exclusivamente de la Unidad Organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de nomina para que sólo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informática. En muchas organizaciones de pequeño o medio tamaño resulta más adecuado implementar un modelo de dominio único con múltiples unidades organizativas que un modelo de múltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (políticas) diferentes. Creación de Unidades Organizativas La creación de una Unidad Organizativa es similar a la creación de un grupo de trabajo, para nuestro trabajo veamos cómo se crea una y lo que podemos hacer con ella. Los pasos son bastante sencillos: 1. Debemos abrir la herramienta Usuario y Equipos del Active Directory. Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory. 2. Nos ubicamos en el Dominio y presionamos clic derecho Nuevo/Unidad Organizativa. 3. Vemos entonces una ventana en la cual debemos colocar el nombre de la Unidad Organizativa, recordemos que la idea o el objetivo de las unidades organizativas es la de agrupar administrativamente la información de la Red, así que debemos dar un nombre acorde a lo que deseamos hacer. Para nuestro caso, le daremos el nombre de SISTEMAS, y presionamos clic en aceptar. 4. Como podemos observar en la Imagen 47, la Unidad Organizativa, quedo creada a nivel del Dominio (Como se recomienda) y está vacía. 43 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 5. Procedemos entonces, a crear dentro de ella los usuarios y grupos de trabajo necesarios para conformar la división empresarial. Veamos por medio de un ejercicio tomando como base el organigrama de una empresa cualquiera. Por ejemplo. En el organigrama anterior, podemos entonces dividir la empresa en varias unidades organizativas y dentro de ellas crear los diferentes usuarios y/o grupos de trabajo. Veamos entonces como hacerlo. Unidades Organizativas a crear Dirección General Dirección Comercial Producción Dirección de Finanzas Departamento de Tecnología de la Información Y para nuestra mejor administración, en cada una de las Unidades Organizativas creadas, procedemos a crear los usuario y/o grupo de trabajo que a cada una de ellas pertenecen, e inclusive, se puede crear otras unidades organizativas, si es el caso. En la imagen anterior vemos señaladas las unidades organizativas creadas, lo único que nos faltaría seria agregar los usuario y/o grupos que van a pertenecer a cada una de ellas. El procedimiento es sencillo, lo único que cambiaría seria que en lugar de hacerlo dentro de la carpeta Users… lo haríamos dentro de cada una de las Unidades Organizativas. 44 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 11 Conexión de Clientes Al Dominio Bueno hasta el momento hemos visto varios elementos de una Red corporativa, un equipo como estación de trabajo inicialmente y luego como Servidor o Controlador de Dominio, sigamos entonces con los clientes o estaciones de trabajo que van a tener los usuarios y que debemos de registrar dentro del Dominio. Para esto vamos a necesitar un equipo de trabajo siquiera con Windows XP, Si tienen Vista o Seven también nos puede servir. Ya que estamos trabajando con Virtual PC, procedamos a crear un equipo nuevo con Windows XP, esta imagen va a estar disponible en el portal de trabajo o en su defecto debemos instalar Windows XP sobre un equipo virtual. 11.1 Pasos previos. Todo el truco consiste en el direccionamiento IP. Si tenemos bien configurado las direcciones IP del Servidor y de la estación de trabajo no vamos a tener ningún problema. Entonces hagamos lo siguiente: 11.2 Configuración de la Tarjeta de Red del Servidor Dirección IP Mascar de Subred Puerta de Enlace DNS Preferido DNS Alternativo(Opcional) 192.168.1.100 255.255.255.0 192.168.1.100 192.168.1.100 1. Presionar Doble Clic en el icono de Conexiones de Área Local. Ver imagen 13. 2. Luego seleccionamos Propiedades, protocolo de Internet TCP/IP y clic en Propiedades. Ver Imagen 14. 3. Seleccionamos la opción Usar la siguiente dirección IP. Y podemos usar la siguiente: Dirección IP: 192.168.1.100 Mascara de Subred: 255.255.255.0 Puerta de Enlace: 192.168.1.100 Servidor DNS Preferido: 192.168.1.100, posiblemente la configuración que aparece es 127.0.0.1, debemos cambiarla a la sugerida. Servidor DNS Alternativo: Vacio. 4. Presionamos clic en Aceptar, Aceptar y en Cerrar. 11.3 Configuración de la Tarjeta de Red de la Estación de Trabajo Dirección IP Mascar de Subred Puerta de Enlace DNS Preferido 192.168.1.101 255.255.255.0 192.168.1.100 192.168.1.100 45 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS DNS Alternativo 192.168.1.101 1. Presionar Doble Clic en el icono de Conexiones de Área Local. Ver imagen 49. 2. Luego seleccionamos Propiedades, protocolo de Internet TCP/IP y clic en Propiedades. Ver Imagen 50. 3. Seleccionamos la opción Usar la siguiente dirección IP. Y podemos usar la siguiente: Dirección IP: 192.168.1.101 Mascara de Subred: 255.255.255.0 Puerta de Enlace: 192.168.1.100 Servidor DNS Preferido: 192.168.1.100. Servidor DNS Alternativo: 192.168.1.101. 4. Presionamos clic en Aceptar, Cerrar y en Cerrar. Con lo anterior nos estamos asegurando que exista una comunicación entre el Servidor y la Estación de Trabajo. Para esto debemos verificar que efectivamente exista dicha comunicación, procedamos a realizar lo siguiente en la estación de trabajo. Activar la consola de comandos o símbolo del sistema, al realizar esto se abre una ventana tipo DOS, es decir, una ventana de fondo negro y letra blanca y en la cual vamos a escribir lo siguiente con el fin de verificar si el Dominio o Controlador de Dominio está en línea. Ping Clase .Net y presionamos Enter El comando realiza una petición al DNS para verificar que el nombre del Dominio está bien registrado y nos debe dar respuesta(4) positivas en su defecto nos da una respuesta(4) negativas indicando que no encuentra el Domino respectivo. En la anterior imagen podemos observar los dos resultados, la primera parte indicando que hay respuesta y que la dirección IP del Dominio es la 192.168.1.100, en el segundo caso, parte debajo de la imagen, vemos que se trató de localizar un Dominio llamado Clase .Net, al no existir, nos saca el mensaje de error indicándolo. Verificada la conexión con el Servidor o Controlador de Dominio, estamos listo para registrar la Estación de Trabajo en el Dominio. En caso tal, debemos revisar el direccionamiento IP de nuevo en ambas maquinas. 1. Salimos entonces de la ventana de comandos o símbolo del sistema escribiendo el comando EXIT y presionamos luego Enter. 11.4 Pasos para Registrar un Cliente o Estación de Trabajo. 1. Desde la estación de trabajo, presionamos clic derecho sobre el icono MI PC y seleccionamos Propiedades y luego la ficha Nombre Equipo. 2. Como podemos apreciar, por defecto la estación de trabajo pertenece a un grupo de trabajo llamado WORKGROUP, lo que vamos a realizar es presionar clic en el botón Cambiar y el 46 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS sistema nos muestra una ventana en la cual observamos el nombre del PC y como dije anteriormente, el nombre del grupo de trabajo al cual pertenece el PC. 3. Seleccionamos entonces la opción Dominio y escribimos el nombre del Dominio al cual nos vamos a conectar, en este caso sería Clase .Net y presionamos clic en Aceptar. El sistema nos muestra una ventana en la cual nos pide el nombre del usuario (Administrador – recomendado) con el cual nos vamos a conectar al Dominio, su respectiva Contraseña y presionamos clic en Aceptar. 4. Una vez se realice la conexión y el respectivo registro al Dominio, el sistema nos saca un mensaje de Bienvenida el cual aceptamos y luego presionamos clic en Aceptar (dos veces) y procedemos a reiniciar el PC. Con lo anterior, tenemos entonces ya registrado el cliente o estación de trabajo al Dominio, para verificar esto, podemos ingresar al Servidor o Controlador de Dominio a la herramienta Usuarios y Equipo del Active Directory y en la carpeta Computers vamos a encontrar el cliente o estación de trabajo. Entonces ya tenemos varios elementos de la Red, como primero el Servidor o Controlador de Dominio, Las Estaciones de Trabajo, Los Usuarios, Grupos de Trabajo, Unidades Organizativas, Las Tarjetas de Red y Como Tal, El Sistema Operativo de Red, Windows Server 2008 … como vemos no es difícil, solo es de práctica y eso vamos a seguir haciendo. 47 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 12 Ejercicio - Taller Tema: Dominios y Clientes de Trabajo 48 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 13 Recursos Compartidos Veamos entonces, un recurso en sistemas, se denomina cualquier periférico (Impresora), unidad de CD-ROM, Disco Duro y hoy en día, Internet, que se encuentre conectado o se utilice en un PC, también entran acá, las unidades externas de almacenamiento llamadas USB y otros elementos nuevos que hay en el mercado. Todo lo que posee (en su mayoría) un PC, se puede compartir, en este capítulo vamos a ver como es el manejo de los recursos informáticos en una Red. 13.1 Compartir un Recurso Al compartir un recurso, estamos haciendo uso de una de las principales funciones o razones por las cuales se implementa una Red. Con esto, las empresas están evitando consumir o gastar dinero a la hora de comprar elementos para todos los usuarios, en lugar de eso, se adquieren pocos y se comparten para todos los usuario en la Red. La forma de compartir un recurso varia levemente, pero hablando en forma general, es bastante fácil compartir un recurso. Veamos por medio de un ejemplo, vamos a crear una carpeta llamada Recurso en la unidad C:\ de nuestro Servidor. Con la carpeta creada, realicemos lo siguiente entonces: 1. Presionamos clic derecho sobre la carpeta llamada Recurso y seleccionamos la opción Compartir y Seguridad. Y seleccionamos la opción Compartir esta Carpeta 2. Se deben activar unas cajas de texto en donde por defecto debe aparece la palabra Recurso en la sección Recurso Compartido, como nombre para el recurso a compartir. Si no queremos compartir el recurso con el nombre sugerido, se puede colocar otro, el que se desee. 3. Colocar un comentario, aunque es opcional, se recomienda colocar algo, aunque ser breve, pero que indique algo relacionado con el recurso. 4. Se debe indicar el límite de usuarios, normalmente se debe seleccionar la opción Máximo Permitido, que equivale a 10 usuarios o indicar menos de 10 con la opción Permitir este número de usuario, aunque se puede probar colocando un número más alto… 5. Luego presionamos clic en el botón Permisos y determinamos los permisos que van a tener los usuarios sobre dicha carpeta, podemos especificar Control Total, Cambiar o Leer, para Todos o para los usuarios a los cuales les vamos a compartir la carpeta. 6. Si es a un usuario especifico, se debe agregar, presionando clic en el botón Agregar, acá escribimos los nombre de los usuario y luego presionamos clic en el botón Validar Nombre o en su defecto, presionamos clic en el botón Avanzadas y luego en el de Buscar Ahora y seleccionamos los usuarios y/o grupos a los cuales les vamos a compartir el recurso. 7. Por último presionamos clic en Aceptar varias veces hasta salir de la ventana de Compartir y Seguridad y quedamos en la ventana de donde comenzamos y vemos entonces como a la 49 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS carpeta Recurso le aparece una mano debajo indicando esto que la carpeta ya está compartida. La carpeta anterior, esta compartida y solo se dieron los permisos básicos, en caso de otorgar más permisos, se debe seleccionar la ficha Seguridad y especificar más permisos a los usuarios y/o grupos que van a utilizar la carpeta. 13.2 Conectarse a un Recurso Compartido Ya tenemos el recurso compartido, lo que tenemos que hacer ahora es conectarnos al recurso. Hay varias formas de conectarnos a un recurso compartido, vamos verlas. 13.2.1 Desde el explorador de Windows. 1. Desde la estación de trabajo, abrimos el explorador de Windows (Ventana + E). 2. Seleccionamos del panel izquierdo la opción Mis Sitios de Red (Windows XP), en Vista y Seven es la opción Red. 3. Luego seleccionamos Toda la Red/Red Microsoft/Nombre Dominio (En este caso AcmeVirtual)/Nombre del Servidor (ServerVirtual) y ahí vamos a encontrar los recursos que el Servidor o una estación de trabajo tengan compartidos. 4. Presionamos Doble clic al recurso al cual queremos conectarnos y listo… ya estamos conectados. 13.2.2 Buscando el Equipo en la Red. En caso de no encontrar el PC por el método anterior, podemos entonces realizar el siguiente: 1. Seleccionamos la opción Ejecutar del menú principal de Windows o presionamos las teclas Ventana + R. 2. Escribimos el nombre del PC precedido de dos BackSlash de la siguiente forma. 3. \\Nombre_PC Ejemplo \\ServerVirtual 4. En sus defecto, podemos escribir la dirección IP en lugar del nombre, aunque no se recomienda mucho porque normalmente en la Red lo que más puede cambiar la IP del PC más no el nombre. a. \\192.168.1.100 5. Y presionamos Enter o clic en Aceptar 6. En caso de que el PC este en línea, Windows nos abre una ventana explorador mostrando los recursos que dicho PC este compartiendo. 13.2.3 Conectar un Recurso a una Unidad de Red Lo ideal es tener siempre el recurso al cual estamos conectado en forma permanente o al menos en línea cuando esté disponible, para eso debemos entonces crear o asignar el recurso a una letra como si fuera una unidad más que posee nuestro PC. Es bastante fácil, veamos. 1. Ubicar el recurso al cual nos vamos a conectar 2. Sobre el recurso localizado, presionamos clic derecho y seleccionamos la opción Conectar a Unidad de Red… 3. Al seleccionar esta opción, Windows nos presenta una ventana en la cual debemos especificar la unidad con la cual vamos a representar el recurso compartido y la opción para 50 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS determinar que se conecte a este recurso cada vez que se inicie sesión de trabajo, por defecto, la unidad que se asigna es la última del abecedario que esté disponible. 4. Por último presionamos clic en Finalizar y ya tenemos asignada el recurso a una letra o unidad de Red, esta unidad aparece en el explorador de Windows como una unidad más.. Los recursos se puede compartir en de varias formas, como ya hemos visto, otra forma de compartir un recursos es compartirlo pero con otro nombre, solo por cuestiones de seguridad o porque así se necesita. Veamos. 1. Sombre la carpeta compartida en el servidor llamada Recurso, presionamos clic derecho y seleccionamos la opción Compartir y Seguridad. Ahí vemos que la carpeta esta efectivamente compartida. 2. Presionamos clic en el botón Nuevo Recurso Compartido… sale una nueva ventana en la cual nos pide el nuevo nombre para el recurso así como una descripción para el mismo. 3. Para nuestro ejemplo de trabajo, coloquemos como nombre del recurso Documentos y presionamos clic en Aceptar. La carpeta Recurso queda entonces compartida con el nombre de Documentos. 4. Al conectarnos desde una estación de trabajo, vamos a ver el recurso compartido con dos nombres. Y nos podemos conectar a él y asignarle otra letra de unidad. 13.3 Recursos Ocultos Por defecto, Windows tiene compartidas las unidades de almacenamiento y otras carpetas en forma oculta, solo están “Disponibles” si conocemos el dato. Para acceder a ellas basta con colocar el nombre del PC, como ya vimos anteriormente, y seguido la unidad de almacenamiento y el signo $, veamos. \\ServerVirtual\C$ --- de esta forma estamos accediendo a la unidad C:\ del Servidor desde cualquier máquina, si queremos acceder a la unidad de CD-ROM, basta con colocar \\ServerVirtual\D$ o \\ServerVirtual\E$ dependiendo de cuál sea… como les dije, esta compartidas de forma predeterminada, obviamente para “manipularlas” necesitamos privilegios de usuario Administrador. Como vemos en la imagen anterior, estamos tratando de ingresar a la unidad C:\ del Servidor y nos está pidiendo el usuario y la contraseña respectiva para poder hacerlo, debemos suministrar un usuario valido, en lo posible con privilegios de Administrador para realizar cualquier tarea administrativa, de lo contrario, estaríamos solo con capacidad de ver la información. Si no tenemos los permisos suficientes para conectarnos, el sistema nos saca una ventana informándonos el problema. 13.4 Como compartir una recurso en forma oculta. El procedimiento es bastante sencillo… veamos 1. Realicemos el procedimiento antes visto para compartir un Recurso. 2. Cuando estemos colocando el nombre del Recurso, al final de este, le adicionamos el signo $, así… Recurso$. Con solo adicionarle el signo pesos ($), el sistema comparte el recurso en forma oculta y solo se tiene acceso a él si conocemos el dato. 51 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Para acceder a un recurso oculto, lo hacemos realizando el procedimiento antes visto, basta con colocar en la ventana del Explorador o en la ventana de Ejecutar, el nombre del PC seguido del nombre del Recurso y por último el signo pesos ($), así. \\ServerVirtual\Recurso$ 13.5 Compartir Impresoras Las impresoras tienen el mismo comportamiento que otros recursos, porque es otro recurso más. El compartir una impresora es similar al de compartir una Carpeta… Veamos. 1. Abrimos la carpeta Impresoras y Faxes. 2. Allí vamos a encontrar nuestra impresora o varias, según sea el caso. Si no tenemos, hay que instalar una. 3. Sobre la impresora que vamos a compartir, presionamos clic derecho y la opción Compartir… 4. Veremos entonces una ventana en la cual encontramos dos opciones, No compartir y Compartir Impresora, debemos seleccionar la opción Compartir Impresora. 5. Colocar el nombre, recuerde que siempre se sugiere un nombre de máximo 8 letras para ofrecer compatibilidad con sistemas operativos anteriores. 6. Por defecto, la impresoras estas compartidas para todos los usuarios, en caso de no ser esa la idea, debemos entrar a la ficha de Seguridad y especificar los permisos a los usuario que van a utilizar esta impresora. 7. Presionar clic en el botón Aceptar y veremos la impresora compartida con una mano debajo indicando esto. 13.6 Utilizar impresoras compartidas o de Red Para esto solo debemos realizar primero la localización del PC que contiene la impresora compartida utilizando alguno de los métodos antes vistos. Windows nos presenta una ventana tipo Explorador con los recursos compartidos que hay en dicho PC y ahí vamos a encontrar nuestra impresora. Una vez localizar, presionamos doble clic en ella y aceptamos el mensaje sale y listo… ya quedamos conectados a dicha impresora desde nuestra estación de trabajo. En Impresoras y Faxes de la estación de trabajo debe aparecer la impresora a la cual nos conectamos. 52 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 14 Perfiles 14.1 ¿Qué es un perfil? Los perfiles hacen referencia a características particulares de los usuarios, esto quiere decir que cada usuario tiene diferentes funciones o laborares que hacer en la Red, por ende, cada usuario tiene diferentes responsabilidades. Los perfiles nos ayudan a clasificar a los usuarios en una Red y determinar sus funciones. Cada perfil se puede personalizar de acuerdo a las características de cada usuario, de tal forma que podamos crear diferentes perfiles y de acuerdo a esto, poder crear plantillas (modelos o moldes) para la creación de próximos usuarios en la Red. Normalmente los perfiles de los usuarios hacen referencia a las características de la pantalla que van a tener, los accesos a los aplicativos, a las opciones de los menús y a los permisos que tienen estos sobre el equipo. Un ejemplo de cómo identificar perfiles, es ingresando al equipo con un usuario diferente al del Administrador, veremos entonces que el sistema le asigna una presentación de pantalla diferente que la del Administrador, los menús cambian, el fondo cambia, los iconos en pantalla son menos o ninguno, es decir, todo cambia. Significa esto, entonces, que podemos en cualquier momento personalizar el área de trabajo de cada uno de los usuarios registrados en el equipo. 14.2 Creación y Modificaciones de perfiles Los perfiles se van creando en una carpeta por cada uno de los usuarios que ingrese al equipo, esta carpeta se crea en la unidad C:\Documents And settings, quedando de la siguiente forma. C:\Documents and settings\Nombre usuario Ejemplo C:\Documents and settings\LJimenez Esta carpeta es personal y normalmente no se puede modificar ni tampoco ingresar a ella por ningún otro usuario. La forma de crear un perfil para un usuario es relativamente fácil, inicialmente comenzaremos con el manejo de perfiles en forma sencilla. El procedimiento a seguir es el siguiente: a) Ingresar con el usuario al cual le vamos a crear el perfil respectivo. b) Modificar el escritorio, colocando un fondo diferente, cambiando los iconos, agregando un acceso directo, Etc. c) Realizar lo mismo con cada uno de los usuarios a los cuales les vamos a personalizar el perfil. Normalmente el contenido o el perfil de un usuario no se pueden o debe copiar, el procedimiento es largo pero se puede realizar, en caso de necesitarlo, más bien se debe crear una plantilla o molde e implementar entonces lo que denominaremos perfiles mandatorios y/o perfiles móviles los cuales veremos más adelante. 53 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 14.3 Actividad de Perfiles Objetivo: aplicar diferentes perfiles para cada uno de los usuarios antes creados (Ver ejercicio anterior). Iniciar sesión con cada uno de los usuarios y realizar lo siguiente: Al usuario LJimenez, colocarle un fondo gris y el color de la letra en negra, colocar los iconos de Mis Sitios de Red, Mi Pc y Mis Documentos en el escritorio, crear un acceso directo a la calculadora y al Block de Notas. Al usuario Macifuentesl, colocarle un fondo negro y color de la letra en blanco, descansador de pantallas de Windows a 5 minutos, iconos en el escritorio de Mis Documentos e Internet Explorer. Al usuario Pamartinezl, colocar un fondo azul y el color de la letra roja, descansador de pantalla de 3 minutos y todos los iconos principales en pantalla. Al usuario Jbenavidez, colocar un fondo verde con una imagen de un paisaje y el descansador de pantalla a 15 minutos, quitar todos los iconos de pantalla y colocar solo los del WordPad, Paint Brush, Calculadora y Papelera de reciclaje. Verificar cada uno de los perfiles e indicar que problemas se presentaron a la hora de realizar la actividad. Perfiles mandatorios en Windows Server 2008 (Mandatory profiles with Windows Server 2008) Son aquellos que perfiles en los cuales se crea una vez y por mucho que el usuario modifique su perfil, siempre al iniciar de nuevo su sesión de trabajo, el usuario va a tener lo mismo. Los pasos para crear un perfil mandatorio u obligatorio son los siguientes: - Crear una carpeta donde se almacenen todos los perfiles (mandatorios, roaming, etc) Compartir la carpeta con los siguientes permisos compartidos: o Administradores - Propietarios (owner) o Usuarios autenticados – Lectura Dentro de la primera carpeta, crear una nueva con el nombre de cada usuario o una global, por ejemplo "mandatorio" y al final colocar ".v2", con lo que el nombre de la carpeta sería "mandatorio.v2" (En Windows Server 2003 no se requería colocar el ".v2") Iniciar sesión en el servidor con una cuenta de usuario que tenga los privilegios necesarios, y configurar el perfil de acuerdo a lo que se requiera (agregar accesos directos, papel tapiz, etc etc), finalmente cerrar la sesión e iniciar nuevamente con la cuenta de administrador. En la sesión de administrador, hacer clic derecho en "Mi PC" y seleccionar "Propiedades", "Configuraciones avanzadas de sistema", clic en "Perfiles". En el cuadro de diálogo de "Perfiles", seleccionar el perfil de usuario que se utilizó en paso anterior y seleccionar "Copiar a". En el path colocar el UNC (por ejemplo: \\server\perfiles\mandatorio.v2). En la opción "Permitir uso a" hacer clic en "Cambiar" y seleccionar "Todos". Finalmente clic en Aceptar para iniciar la copia. Abrir un explorar de Windows y navegar a la carpeta donde se copió el perfil, hacer clic en "Organizar", "Opciones de carpeta", clic en la viñeta "Ver", marcar la opción "Mostrar archivos y carpetas ocultos. Renombrar el archivo NTUSER.DAT a NTUSER.MAN. 54 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS - Finalmente, en las propiedades del usuario que vaya a utilizar el perfil mandatorio colocar en la viñeta de "Perfil" el UNC del perfil mandatorio pero sin él ".v2" al final. 14.4 Perfiles Móviles Un perfil móvil es aquel perfil que no importa en donde el usuario haga sesión de trabajo, sus características de escritorio y demás opciones, van a estar presentes siempre, esto se debe a que las características del usuario se almacenan en servidor y una vez se haga sesión de trabajo, el servidor envía una copia del perfil a la estación de tal modo que el usuario tenga siempre toda su configuración y no se vaya creando una siempre que se haga sesión de trabajo. 14.4.1 Para crear un perfil móvil 1. En la herramienta sistema en el panel de control, haga clic en Perfiles de usuario y, a continuación, seleccione un perfil de usuario existente. 2. Cambiar el tipo de perfil haciendo clic en Cambiar tipo. Seleccione local o móvil. 14.4.2 Un perfil de usuario existente puede copiarse a otro usuario siguiendo estos pasos: 1. En el panel de control, haga doble clic en el sistema, haga clic en la ficha Perfiles de usuario. 2. Seleccione un perfil existente local o móvil que desee copiar. 3. Haga clic en el botón Copiar A. 4. En Copiar perfil A , especificar una ruta UNC a la carpeta de perfil del usuario, por ejemplo: \\ServerName\ShareName\User'sProfileDirectory -o bien – En entorno de red, seleccione la carpeta del perfil de usuario Haga clic en cambiar en está permitido usar para seleccionar el usuario que tendrán permiso para usar este perfil. 5. Haga clic en Aceptar para copiar el perfil. 6. Haga clic en Aceptar para cerrar Propiedades del sistema. 7. La cuenta del usuario, a continuación, tendrá que actualizarse para reflejar la ruta de acceso del perfil móvil. Esto se realiza en el Administrador de usuarios. Haga doble clic en el nombre del usuario apropiado. 8. Haga clic en perfil y a continuación, escriba la ruta UNC en el paso cuatro para la ruta perfil de usuario y, a continuación, haga clic en Aceptar. Una vez correctamente, el usuario ha iniciado sesión, el perfil se guardarán en el servidor como un perfil móvil y se guardarán los cambios de perfil en el servidor. Tema: Implementación de una Solución Basada en una Situación Real 55 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 15 Servicios de Red – DNS Ahora continuemos con el servicio de DNS, que vimos cuando estábamos instalando el Directorio Activo en nuestros equipos. Ya hemos dicho que, resumiendo, el DNS se utiliza para resolver los nombres de Dominio con su IP respectiva, y es verdad y de mucha utilidad, ahora veremos una definición un poco mas técnica para comprender mejor el tema. 15.1 ¿Qué es el DNS? DNS es una abreviatura de Sistema de Nombres de Dominio (Domain Name System), un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarquía de dominios. La asignación de nombres DNS se utiliza en las redes TCP/IP, como Internet, para localizar equipos y servicios con nombres sencillos. Cuando un usuario escriba un nombre DNS en una aplicación, los servicios DNS podrán traducir el nombre a otra información asociada con el mismo, como una dirección IP. Por ejemplo, la mayoría de los usuarios prefieren un nombre fácil de utilizar como www.upm.es para localizar un equipo (como un servidor Web o de correo electrónico) en la red. Un nombre sencillo resulta más fácil de aprender y recordar. Sin embargo, los equipos se comunican a través de una red mediante direcciones numéricas. Para facilitar el uso de los recursos de red, Los servicios de nombres como DNS proporcionan una forma de asignar estos nombres sencillos de los equipos o servicios a sus direcciones numéricas. 15.2 Descripción del servicio DNS 15.2.1 Nombres de dominio El Sistema de Nombres de Dominio (DNS) se definió originalmente en los documentos de petición de comentarios (RFC, Request for Comments) 1034 y 1035. Estos documentos especifican elementos comunes a todas las implementaciones de software relacionadas con DNS, entre los que se incluyen: Un espacio de nombres de dominio DNS, que especifica una jerarquía estructurada de dominios utilizados para organizar nombres. Los registros de recursos, que asignan nombres de dominio DNS a un tipo específico de información de recurso para utilizar cuando se registra o se resuelve el nombre en el espacio de nombres. Los servidores DNS, que almacenan y responden a las consultas de nombres para los registros de recursos. Los clientes DNS, que consultan a los servidores para buscar y resolver nombres de un tipo de registro de recursos especificado en la consulta. 56 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 15.2.2 Descripción del espacio de nombres de dominio DNS El espacio de nombres de dominio DNS, se basa en el concepto de un árbol de dominios con nombre. Cada nivel del árbol puede representar una rama o una hoja del árbol. Una rama es un nivel donde se utiliza más de un nombre para identificar una colección de recursos con nombre. Una hoja representa un nombre único que se utiliza una vez en ese nivel para indicar un recurso específico. Los clientes y los servidores DNS usan las consultas como el método fundamental para resolver los nombres en el árbol como información específica de los tipos de recurso. Los servidores DNS proporcionan esta información a los clientes DNS en las respuestas a las consultas, quienes, a continuación, extraen la información y la pasan al programa solicitante para resolver el nombre consultado. En el proceso de resolución de un nombre, tenga en cuenta que los servidores DNS funcionan frecuentemente como clientes DNS, consultando a otros servidores para resolver completamente un nombre consultado. 15.3 Servidores de nombres de dominio Los programas encargados de agrupar y mantener disponible la información asociada a un espacio de nombres de dominio se conocen como servidores de nombres de dominio. Estos servidores usualmente administran la información referente a una parte del dominio, la cual se conoce como zona. Entonces se dice que el servidor tiene autoridad sobre la zona. El mismo servidor puede estar autorizado para varias zonas. Algunos de los tipos de servidores de nombres que existen son: Maestros: Almacena los registros de las zonas originales y tienen la autoridad de un cierto espacio de nombres donde buscan respuestas concernientes a dicho espacio de nombres. Esclavo: Responde también a las peticiones que provienen de otros servidores de nombres y que se refieren a los espacios de nombres sobre los que tiene autoridad. Los servidores esclavos obtienen la información de espacios de nombres de servidores de nombres maestros a través de una zona de transferencia, en la que el esclavo manda al servidor maestro una petición que se llama NOTIFY para una determinada zona y el maestro responde si el esclavo está autorizado para recibir la transferencia. Caching-only: Ofrece servicios de resolución de nombres a direcciones IP pero no tiene ninguna autoridad sobre zonas. Las respuestas en general se pone en un caché que se encuentra en la base de datos almacenada en la memoria durante un periodo fijo, la cual está especificada por la zona importada y así obtener una resolución más rápida para otros clientes DNS después de la primera resolución. Forwarding: Hace que determinados servidores de nombres lleven a cabo la resolución. Si alguno de estos servidores no puede efectuar la resolución, el proceso se para y la resolución se anula. La posibilidad de definir más de un servidor de nombres de dominio para una misma zona permite tener redundancia de la información, mayor tolerancia ante el fallo de algún servidor y accesibilidad por parte de todos los hosts de la red. Y todo esto se logra sin tener que actualizar los datos manualmente lo cual puede ocasionar errores e inconsistencias en la información de la zona. 57 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Un servidor de nombres puede ser primario para unas zonas y secundario para otras. Existe un conjunto de servidores de nombres de dominio que controlan el dominio raíz y conocen todos los servidores autorizados para los dominios de primer nivel. Estos servidores son claves en el proceso de resolución de nombres de dominio. Actualmente existen catorce servidores raíces distribuidos en su inmensa mayoría en el territorio de los Estados Unidos, los otros se encuentra en Japón, Suecia, Gran Bretaña y España. 15.4 Proceso de resolución de nombres Para satisfacer las solicitudes de los resolvers, los servidores de nombres no solamente retornan información acerca de las zonas para la que están autorizados, también tienen que hacerlo de aquellas para las que no lo están. Este proceso se denomina resolución. Gracias a que el espacio de nombres de dominio tiene estructura de árbol, sólo es necesario por parte del servidor de nombres conocer un punto de este árbol: los nombres y los números IP de los servidores de nombre del dominio raíz (servidores raíces). De esta forma, cualquier servidor de nombres para resolver un nombre determinado (o realizar otro tipo de consulta), sólo necesitará conocer algún servidor raíz y consultarlo. Éste le devolverá la dirección del servidor del subdominio correspondiente (dominio de primer nivel), el cual a su vez puede referir a otro servidor y así sucesivamente se va completando el proceso de resolución que puede concluir exitosamente o no. Lo anterior podemos hacer una analogía cuando estamos tratando de averiguar una dirección de una casa o de algún sitio, tenemos que estar preguntando a diferentes personas o realizando diferentes métodos de consulta para poder llegar al sitio indicado, es decir, alguien no da una información, luego otra persona nos da otra hasta que llegamos al sitio solicitado o definitivamente no llegamos a ningún Pereira. La forma de realizar este proceso de consulta se hace en dos etapas o sesiones. El solucionador local Inicialmente la consulta se hace en forma local consultado la cache local o base de datos temporal que contiene las direcciones y nombres de dominio. La caché del solucionador local puede incluir información de nombres obtenida de dos orígenes posibles: Si un archivo Hosts está configurado localmente, las asignaciones de nombre a dirección de host de ese archivo se cargan con anterioridad en la caché cuando se inicia el servicio Cliente DNS. Los registros de recursos obtenidos en las respuestas de consultas DNS anteriores se agregan a la caché y se mantienen durante un período. Si la consulta no coincide con una entrada de la caché, el proceso de resolución continúa con la consulta del cliente al servidor DNS para resolver el nombre. Consultar un servidor DNS 58 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Cuando el servidor DNS recibe una consulta, primero comprueba si puede responder la consulta con autoridad en función de la información de registro de recursos contenida en una zona configurada localmente en el servidor. Si el nombre consultado coincide con un registro de recursos correspondiente en la información de zona local, el servidor responde con autoridad y usa esta información para resolver el nombre consultado. Si no existe ninguna información para el nombre consultado, a continuación el servidor comprueba si puede resolver el nombre mediante la información almacenada en la caché local de consultas anteriores. Si aquí se encuentra una coincidencia, el servidor responde con esta información. De nuevo, si el servidor preferido puede responder con una respuesta de su caché que concuerda al cliente solicitante, la consulta se finaliza. Si el nombre consultado no encuentra una respuesta coincidente en su servidor preferido, ya sea en su caché o en su información de zona, el proceso de consulta puede continuar y se usa la recursión para resolver completamente el nombre. Esto implica la asistencia de otros servidores DNS para ayudar a resolver el nombre. De forma predeterminada, el servicio Cliente DNS pregunta al servidor si va a utilizar un proceso de recursión para resolver completamente los nombres en nombre del cliente antes de devolver una respuesta. En palabras castizas, cuando se realiza una consulta de nombre de dominio, se realizar un proceso de verificación en todos los servidores DNS que se encuentren en línea y dado el caso de no encontrarlo, se emitirá un mensaje indicándolo o en su defecto, mostrara la información respectiva del dominio consultado. 15.5 Estructura de la base de datos del DNS A cada nombre de dominio en el DNS se le pueden asociar varias informaciones. Para los nombres de dominio asociados a un host, la principal información es su número IP, pero también se le pueden hacer corresponder varios alias, indicar una descripción de la máquina (procesador y sistema operativo), etc. Los registros más importantes son: 15.5.1 El registro SOA SOA significa Start Of Authority e informa que todos los registros de recursos que le siguen están autorizados a dicho dominio. Los datos asociados con un registro SOA son los siguientes: Origin: Es el nombre canónico del servidor de nombres primario para este dominio, y generalmente se da como absoluto, es decir, con un punto al final. contact: Es el nombre de la persona responsable para este dominio. Es parecido a una dirección de correo electrónico normal, a excepción que la arroba se remplaza con un punto. También termina con un punto. serial: Es un número que indica la versión del archivo de zona, y debe ser incrementado cada vez que el archivo se modifique. Es importante porque los servidores secundarios solicitan el registro SOA en ciertos intervalos, para verificar el serial. Si éste ha cambiado, entonces transfieren el 59 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS archivo completo para actualizarse. Una práctica muy común es utilizar la fecha en el formato aammdd y agregarle dos dígitos más para los cambios que se hacen al archivo en el mismo día. De tal manera, un serial típico podría ser 2001032201. refresh: Es el intervalo, en segundos, para las revisiones que hacen los servidores secundarios del registro SOA, con el fin de verificar si la información del dominio ha cambiado. El valor típico es de una hora (3600). retry: Es el tiempo, en segundos, que un servidor secundario debe esperar para reintentar una conexión por refresh que ha fallado. El valor recomendado es de 10 minutos (600 segundos). expire: Si un servidor secundario no ha podido comunicarse con su servidor primario para verificar que no haya habido cambios a la zona (mediante su registro SOA), descartará la información que tiene después de este periodo dado en segundos. El valor típico es de 42 días, o sea 3600000. minimum: Este es el número de segundos empleado en los registros del archivo que no especifican su campo ttl (time to live). 15.5.2 El registro A Este registro sirve para asociar un nombre de máquina con una dirección IP. El único dato para este tipo de registro es la dirección IP en su forma estándar xxx.xxx.xxx.xxx. Debe haber sólo un registro A por cada dirección IP en el archivo, aunque es posible asignarle a una máquina más de una dirección mediante varios registros A. 15.5.3 El registro NS Mediante un registro NS es posible designar un servidor que deberá responder para todas las peticiones que involucren un determinado subdominio. Esto es importante porque permite delegar la asignación de nombres y facilita el manejo de dominios complejos. Designar un servidor de nombres, sin embargo, no basta. Se necesita definir en alguna parte del archivo la dirección de este servidor, mediante un registro A, por supuesto. 15.5.4 El registro PTR Un registro PTR se utiliza para relacionar una dirección IP con un nombre de máquina, exactamente al revés que un registro tipo A. Estos registros aparecen en los archivos de zonas para la resolución inversa. En cada registro sólo aparece una fracción de la dirección IP: la dirección se completa porque a cada nombre que no termina en un punto se le agrega el origen. Los nombres de máquinas aparecen siempre en los registros PTR en su forma canónica, es decir, con el dominio completo. El punto es necesario porque de no aparecer se le agregaría erróneamente el origen. 15.5.5 El registro MX Los registros MX sirven para anunciar a los programas de intercambio de correo, una máquina que se encarga de administrar el correo de un determinado dominio. 60 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 15.5.6 El registro CNAME Este registro sirve para asignarle un nombre alternativo o alias a una máquina. Todos estos tipos de datos se conocen como Resource Records (RR) y se asocian a los nombres de dominios. 15.6 Resolución inversa El proceso de resolución en el DNS no sólo permite traducir nombres a direcciones IP, también se puede hacer el proceso inverso, dado un número IP determinar el nombre principal asociado a esta. Esta facilidad permite que los programas puedan producir su salida en un formato más humano, por ejemplo el subsistema de trazas en lugar de colocar los números IP de las máquinas en las salidas que genera puede utilizar sus nombres. Este tipo de traducción también permite hacer ciertos chequeos de autorización por parte de algunos servidores que en función de ello dan determinadas facilidades de acceso. DNS no se diseñó originalmente para aceptar este tipo de consulta. Un problema observado al permitir el proceso de consulta inversa es la diferencia en la forma en que el espacio de nombres DNS organiza e indexa los nombres, y cómo se asignan las direcciones IP. Si el único método para responder a la pregunta anterior fuera buscar en todos los dominios en el espacio de nombres DNS, una consulta inversa podría llevar demasiado tiempo y requerir un procesamiento demasiado largo como para ser útil. Para resolver este problema, en el estándar DNS se definió y se reservó un dominio especial, el dominio in-addr.arpa, en el espacio de nombres DNS de Internet con el fin de proporcionar una forma práctica y confiable para realizar las consultas inversas. Al crear el espacio de nombres inverso, los subdominios dentro del dominio in-addr.arpa se crean en el orden inverso de los números en la notación decimal con puntos de las direcciones IP. Este orden inverso de los dominios para el valor de cada octeto es necesario porque, a diferencia de los nombres DNS, cuando se leen las direcciones IP de izquierda a derecha se interpretan al contrario. Cuando se lee una dirección IP de izquierda a derecha, se ve desde su información más general (una dirección IP de red) en la primera parte de la dirección a la información más específica (una dirección IP de host) que contienen los últimos octetos. Por esta razón, se debe invertir el orden de los octetos de las direcciones IP cuando se crea el árbol del dominio in-addr.arpa. Con esta colocación, la administración de las ramas inferiores del árbol DNS in-addr.arpa se puede dejar a las organizaciones ya que se les asigna un conjunto de direcciones IP específicas o limitadas dentro de las Clase s de direcciones definidas en Internet. Finalmente, el árbol del dominio in-addr.arpa, como se crea en DNS, requiere que se defina un tipo de registro de recursos (RR) adicional, el registro de recursos de puntero (PTR). Este registro de recursos se utiliza para crear una asignación en la zona de búsqueda inversa que, normalmente, corresponde a un registro de recurso de dirección de host (A) con nombre para el nombre del equipo DNS de un host en su zona de búsqueda directa. 61 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 15.7 Instalación del servidor DNS Antes de nada, se debe configurar en la máquina el protocolo TCP/IP con una dirección IP estática. Se deben de cumplir las siguientes configuraciones TCP/IP en los equipos que ejecutarán el servicio DNS: 1. Asignar una dirección IP estática. 2. Configurar el nombre de dominio y host en el servidor que ejecutará DNS. El proceso de instalación de DNS ejecuta las siguientes acciones: Instalar el servicio DNS y arrancar dicho servicio automáticamente sin reiniciar el equipo. Instalar la consola de DNS y añadir un acceso directo al menú de Herramientas Administrativas. La consola DNS se utiliza para administrar local y remotamente los servidores de nombres DNS. Crea el directorio systemroot\system32\Dns, el cual contendrá los siguientes ficheros de la base de datos: Domain_name.dns: El fichero de la base de datos de la zona usado para traducir los nombres de host a direcciones IP. z.y.x.w.in-addr.arpa: El fichero de inversión que se usa para convertir las direcciones IP en nombres de host. CACHE.DNS: Contiene la información que requiere el host para resolver nombres que están fuera del dominio autoritativo. Boot: Controla el arranque del servicio DNS. Dns.log: Contiene los logs que el sistema hace del servicio DNS. Para instalar el servidor DNS en el sistema Windows Server , se deberán seguir los siguientes pasos: 1. Abra Añadir o quitar programas en el panel de control, marque Añadir o quitar componentes de Windows y haga clic en Siguiente. 2. En los componentes de Windows, haga clic en Servicios de red y después en Detalles. 3. Seleccione el Sistema de nombres de dominio DNS y haga clic en OK. 4. Si se pide, proporcione el path completo hacia el fichero de distribución de Windows Server y después seleccione Continuar. 15.8 Configuración del servidor DNS Por defecto, cuando se instala el Directorio Activo o Dominio, el DNS se instala y configura de forma predeterminada y en ese caso no tendríamos que configurar nada. Dado el caso de que por X o Y razón tuvimos que reinstalar el DNS procederíamos de la siguiente forma. 15.9 Instalación y configuración del Servicio de DNS Esta configuración la realizaremos a través de la utilidad DNS la cual la podemos acceder desde el menú Herramientas administrativas. 62 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Si abrimos todas las carpetas se puede observar la estructura jerárquica en que esta organizados los nombres de dominio. Puede verse el nombre del equipo que hace de servidor DNS, la raíz del árbol (nombrada con un punto ".") y el dominio de la organización, AcmeVirtual.Com. Una vez abierto el administrador DNS, hay que que comprobar si se ha agregado algún servidor sobre el que estamos trabajando, aunque hay que tener en cuenta que con esta utilidad podemos administrar otros servidores DNS de forma remota. Para ello, hay que seleccionar la opción del menú principal "Acción/Conectar con el quipo". En la ventana "Seleccionar equipo destino" tenemos dos opciones: "Este equipo" (para seleccionar el equipo local como servidor DNS) o "El siguiente equipo" (si queremos administrar un equipo remoto como servidor DNS). Para terminar marcamos la casilla de verificación "Conectarse a este equipo ahora" y presionamos clic el botón "Aceptar". Presionando clic sobre SERVERVIRTUAL en la venta principal del administrador del servidor DNS se muestra la configuración para zonas de búsqueda directa (conversión de nombres a direcciones IP) y zonas de búsqueda inversa (conversiones de direcciones IP a nombres). Es recomendable que el servidor DNS tenga configurada una dirección IP estática. 15.10 Creación de Zonas de Búsqueda Directa Debemos de crear como primera medida una zona de búsqueda directa y para eso seguiremos los siguientes pasos. 1. Presionamos clic sobre "Zonas de búsqueda directa" con el botón secundario y sobre " zona nueva…", A continuación aparecerá la primera ventana del asistente para crear zonas de búsqueda directa, solamente debemos seguir los pasos que indique. 2. En la siguiente ventana de la configuración de zona nueva, tendremos tres opciones, seleccionamos la primera para que la nueva zona a definir quede integrada en el Directorio Activo (Active Directory). 3. Presionamos clic en “Siguiente” y nos aparecerá una nueva pantalla del asistente que es para seleccionar la forma de replicación de la información de la zona en toda la Red, por defecto seleccionamos la tercera de ella que dice “… para todos los controladores de dominio en el dominio AcmeVirtual.Com de Active Directory. 4. Presionamos clic en "siguiente" y nos aparecerá una nueva pantalla del asistente que es donde vamos a introducir el nombre de la nueva zona, por ejemplo "cesde.edu.co" este nombre es que va ser encargado de gestionar el servidor DNS. 5. Presionamos clic en “Siguiente” y nos presenta una ventana en donde seleccionamos la primera opción para indicar la forma de cómo queremos que se actualice la información del DNS con el Directorio Activo. 6. Pulsamos "siguiente" para finalizar la definición de la nueva zona creada, pulsaremos sobre el botón "Finalizar". 15.11 Creación de Zonas de Búsqueda Inversa Básicamente los pasos para crear la zona inversa de búsqueda son los mismo, lo único que cambia en el proceso de creación es cuando nos pide nombre de la zona de búsqueda inversa en la cual 63 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS colocamos la dirección IP del nuestro servidor 192.168.1 y el sistema la va invirtiendo en la parte de abajo. Para terminar la configuración DNS, debemos introducir los reenviadores, esto quiere decir introducir DNS públicos, para cuando un host interno quiera resolver algo en internet, es decir, fuera de la red local estos puedan resolverlos, para acceder a esta configuración nos situamos sobre el nombre del servidor pulsamos el botón secundario y seleccionamos en "Propiedades", nos aparecerá una pantalla con pestañas, pues seleccionamos en "Reenviadores" , nos fijamos que la casilla de verificación donde pone "Habilitar reenviador(es) este marcada, a continuación añadimos las direcciones IPs de los DNS públicos. Todo lo anterior si deseamos realizar resolución de nombres en Internet. 15.12 Herramientas para consultar a un servidor DNS Las herramientas para interrogar al DNS permiten simular en cierta medida el comportamiento de los resolvers al permitir consultar a los servidores de DNS para detectar problemas en la configuración y/o funcionamiento del sistema. También pueden servir para obtener la información real que brinda este mecanismo de forma directa y sencilla. La herramienta principal por excelencia para consultar a un servidor de nombres, ya sea para obtener información real o para chequear su configuración, es el programa nslookup. 64 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 16 Servicios de Red - DHCP Este servicio es Dynamic Host Configuration Protocol, que en español es el Protocolo de Configuración Dinámica de Host(Dispositivos), en español, es una función que posee Windows Server que nos permite configurar en forma dinámica las direcciones IP de los dispositivos que tengamos conectados en una Red, decir, en lugar de ir por cada uno de los dispositivos asignando direcciones IP manualmente, esta función o rol del servidor, hará dicha tarea por nosotros. 16.1 ¿Por qué utilizar DHCP? Primero que todo reduce la complejidad y el trabajo administrativo usando configuración automática de TCP/IP. Veamos un comparativo entre la configuración Manual del TCP/IP y la configuración Automática. Configuración Manual de TCP/IP Las direcciones IP de configuran manualmente en cada computador cliente Posibilidad de configuraciones incorrectas o invalidas de IP La configuración incorrecta puede producir fallas de comunicaciones Sobrecarga administrativa en las redes donde los computadores se mueven con frecuencia Configuración Automática de TCP/IP Las direcciones IP se asignan automáticamente a las computadores cliente Se asegura que los clientes utilicen siempre la información correcta de la configuración. La configuración del cliente se actualiza automáticamente para reflejar cambios en la estructura de la red. Elimina el origen de problemas de Red. Veamos un ejemplo Si de pronto necesitamos asignar a 150 equipos la dirección IP, en forma manual nos estaríamos demorando bastante fuera de la documentación que tendríamos que hacer de cada uno de los equipos, pero si en lugar de eso instalamos y configuramos el servicio de DHCP, nos estaríamos ahorrando tiempo y trabajo ya que de esta forma los equipos obtendrían en forma automática la dirección IP de un rango determinado por nosotros. 16.2 Funcionamiento del DHCP El funcionamiento del Servicio de DHCP consiste en que un cliente realiza un petición a un Servidor DHCP, este servidor verifica que la IP de la estación este vigente y en caso tal de no estar vigente, el servidor procede a verificar en lista que dirección IP están libre o se pueden utilizar, en muchos caso otorga la misma, en caso tal, le entrega una nueva al cliente. Como vemos es bastante sencillo el procedimiento, o problema cuando el cliente no encuentra al servidor, se debe proceder a revisar cableado, configuración del servidor, etc. Hasta llegar al origen del problema. 16.3 Instalación y configuración del Servicio de DHCP. La instalación del servicio se debe realizar por medio del asistente para configurar su servidor y debemos seleccionar la opción Servidor DHCP y continuar con el proceso de instalación. 65 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Luego de instalar el servicio como tal, el asistente continua con la configuración del ámbito (el ámbito es el rango de direcciones IP que el servidor va a entregar a los clientes de la Red). Le damos un nombre para identificarlo y una descripción. Especificamos el Intervalo, es decir, el inicio de las direcciones IP y la final así como también su longitud o mascara de subred. Para nuestro ejemplo veamos los valores a colocar. IP Inicial: 192.168.1.150 IP Final: 192.168.1.230 Longitud: 24 bits que equivale a 255.255.255.0 Agregamos las Exclusiones que son aquellas direcciones IP que no pueden entregarse a los clientes y que van a estar fijas en la Red en dispositivos como Servidores, Impresoras, Plotters, Cámaras de Vigilancia ya que no pueden varia en la Red. Para nuestro ejemplo no vamos a colocar ninguna. Especificamos la duración de la concesión, que significa la duración de la dirección IP en cliente. Normalmente son 8 días, pero se puede cambiar a menos o a más. Configuramos las opciones del DHCP, en donde indicamos las direcciones IP del DNS o DNS’s, el Servidor WINS (Ver Más adelante en esta unidad) y puerta de enlace, le indicamos que sí y continuamos. Puerta de enlace es la misma IP del Servidor: 192.168.1.100 DNS Primario es la misma IP del Servidor: 192.168.1.100 WINS es la misma IP del Servidor: 192.168.1.100 Activamos el ámbito y finalizamos la instalación. Practicas recomendadas Normalmente al configurar un Servidor DHCP se tiene las siguientes recomendaciones 1. Las primeras direcciones IP (entre la 1 y la 20) se reservan para uso de servidores e impresoras de Red, las siguientes IP se utilizan para otorgar a los clientes. 2. La concesión de las direcciones IP, no debe superar las 24 horas, por seguridad, aunque en muchos casos se puede anular el tiempo de tal forma que no se necesite renovar la IP de las estaciones de trabajo constantemente para evitar retardos en el servidor o servidores. 16.4 Conexión de un cliente DHCP El objetivo de trabaja con servidores DHCP, es la de poder configurar en forma automática el TCP/IP, esto lo debemos hacer en el lado del cliente. Veamos. 1. Ingresemos a las propiedades del protocolo TCP/IP de nuestra tarjeta de Red. 2. Actualmente, debemos de tener una dirección IP colocada manualmente por nosotros, ahora debemos seleccionar las opciones a) Obtener una Dirección IP Automática. b) Obtener la Dirección del DNS Automáticamente. 3. Presionamos clic en Aceptar, Cerrar y luego clic en Cerrar. 66 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Con lo anterior, nuestro PC solicitara una dirección IP al Servidor y este le entregara una IP del Rango de IP’s que se configuró en el Ámbito del Servidor DHCP. Verificar la IP Asignada Para esto lo podemos hacer de varias formas 1. Presionamos clic el icono de conexión de área local y seleccionamos la opción soporte. 2. Ahí vamos a ver la IP otorgada por el Servidor DHCP, como es la primera estación de trabajo en solicitarla, deberá ser la IP 192.168.1.150 que corresponde a la primera IP del Rango especificado. La otra forma es desde la consola del sistema escribir el comando: IPCONFIG/ALL y luego presionar Enter y el sistema nos muestra la IP recibida por parte del servidor con todo lo especificado a la hora de la configuración del Servicio DHCP. Liberar una la Dirección IP Dado el caso de necesitar renovar la dirección IP, previamente debemos liberar la que tenemos para luego solicitarla. El procedimiento o comando es bastante sencillo, desde la consola de comandos o símbolo del sistema escribimos el comando IPCONFIG /RELEASE, lo que hace el Windows es quitar la IP actual de la Tarjeta de Red. Renovar dirección IP Luego de liberada la IP, procedemos entonces a solicitar una nueva al Servidor DHCP utilizando la instrucción IPCONFIG /RENEW desde la ventana de comandos o símbolo del sistema. En muchos de los casos, al renovar la dirección IP el servidor DHCP nos otorga la misma, no hay ningún problema en que pase eso. 67 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 17 Servicios de Red - WINS El Servicio de nombres Internet de Windows (WINS) proporciona una base de datos distribuida en la que se registran y consultan asignaciones dinámicas de nombres NetBIOS para los equipos y grupos usados en la red. WINS asigna los nombres NetBIOS a direcciones IP y se diseñó para solucionar los problemas que ocasiona la resolución de nombres NetBIOS en entornos con routers. WINS es la mejor alternativa para la resolución de nombres NetBIOS en entornos con routers que utilicen NetBIOS sobre TCP/IP. Con los servidores WINS en la organización, puede buscar recursos por nombre de equipo en lugar de hacerlo por dirección IP, lo que puede ser más fácil de recordar. Si desea asignar nombres NetBIOS a direcciones IP o administrar de forma centralizada la base de datos nombre a dirección, configure el servidor como un servidor WINS ya que simplifica la administración del espacio de nombres NetBIOS en las redes TCP/IP. Los nombres NetBIOS son necesarios para establecer servicios de red en versiones anteriores de los sistemas operativos de Microsoft. Aunque el protocolo de nombres NetBIOS puede utilizarse con otros protocolos además de TCP/IP (como por ejemplo, con NetBEUI o IPX/SPX), WINS se diseñó específicamente para ser usado con NetBIOS sobre TCP/IP (NetBT). Algunas de las ventajas que aporta un servidor WINS en una red son: Reduce el tráfico de difusión NetBIOS en las subredes, ya que se permite a los clientes hacer consultas en los servidores WINS para localizar directamente sistemas remotos. Obtiene la compatibilidad con clientes anteriores basados en Windows y NetBIOS que pueda haber en la red, ya que se permite a estos tipos de clientes explorar listas de dominios de Windows remotos sin que tenga que haber un controlador de dominio local en cada subred. Obtiene la compatibilidad con clientes basados en DNS, ya que se les permite localizar recursos NetBIOS cuando está implementada la integración de búsqueda de WINS. 17.1 Descripción del servicio WINS El servidor WINS controla las solicitudes de registro de nombres de los clientes WINS y registra sus nombres y sus direcciones IP; asimismo, responde a las consultas de nombres NetBIOS que emiten los clientes y devuelve la dirección IP del nombre consultado si se encuentra en la base de datos del servidor. Los clientes utilizan los servidores WINS de dos maneras: como servidor WINS principal o secundario. La diferencia entre el servidor WINS principal o secundario no está basada de ninguna manera en los servidores (que son iguales en WINS desde el punto de vista funcional). La diferencia se halla en el cliente, que distingue y ordena la lista de servidores WINS cuando puede utilizar más de uno. 68 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS En la mayor parte de los casos, el cliente se pone en contacto con el servidor WINS principal para todas sus funciones de servicio de nombres NetBIOS (registro, renovación y liberación de nombres, y consulta y resolución de nombres). El único caso en el que se puede llegar a utilizar los servidores WINS secundarios es cuando el servidor WINS principal: No está disponible en la red cuando se hace la solicitud de servicio, o bien, No puede resolver el nombre para el cliente (en el caso de una consulta de nombre). En el caso de errores en el servidor WINS principal, el cliente solicita la misma función de servicio a sus servidores WINS secundarios. Si el cliente tiene configurados más de dos servidores WINS, los servidores WINS adicionales se utilizan hasta que la lista termine o uno de los servidores WINS secundarios procese y responda correctamente la solicitud. Después de utilizar un servidor WINS secundario, el cliente intenta periódicamente volver a utilizar su servidor WINS principal en las siguientes solicitudes de servicio. 17.2 Clientes WINS Los clientes WINS tratan de registrar su nombre en un servidor WINS cuando se inician o se unen a la red. A partir de ese momento, los clientes consultan al servidor WINS para resolver los nombres remotos cuando lo necesitan. Los clientes WINS son equipos que se pueden configurar para usar un servidor WINS directamente. La mayor parte de los clientes WINS suelen tener más de un nombre NetBIOS que deben registrar para que se utilice dentro de la red. Dichos nombres se utilizan para publicar varios tipos de servicios de red, que los equipos pueden utilizar de varias formas para comunicarse con otros en la red. El servidor WINS de Microsoft Windows Server plataformas siguientes: acepta clientes WINS que se ejecuten en las Windows Server : versiones Datacenter Edition, Enterprise Edition, Standard Edition, Web Edition. Versión de 64 bits de Windows Server : versiones Datacenter Edition, Enterprise Edition. Windows XP: versiones Professional y Home Edition. Windows XP 64-Bit Edition. Windows Millennium Edition. Windows 2000: versiones Datacenter Server, Advanced Server, Server, professional. Windows NT: versiones Server y Workstation. Windows 95, 98 y Windows for Workgroups Microsoft LAN Manager Clientes MS-DOS Clientes OS/2 Clientes Linux y UNIX (que tengan instalado Samba) Los clientes WINS se comunican con el servidor WINS para: 69 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Registrar los nombres de los clientes en la base de datos WINS. Renovar los nombres de los clientes en la base de datos WINS. Liberar los nombres de los clientes en la base de datos WINS. Resolver los nombres con las asignaciones que la base de datos WINS tiene para nombres de usuario, nombres NetBIOS, nombres DNS y direcciones IP. 17.3 Instalación del servicio WINS Para instalar el servidor WINS en el sistema Windows Server, debe seguir los siguientes pasos: Inicio/Herramientas administrativas/administrador de servidor. Ahora seleccionamos características y aceptamos el mensaje que sale. Presionamos clic en agregar características. Seleccionamos Servidor WINS de la lista y le presionamos clic en siguiente. Ahora le damos a instalar. Esperamos que acabe el proceso y listo. Es opcional instalar este Servidor o característica a no ser que algún aplicativo lo necesite o estemos trabajando con sistemas operativos con versiones viejas. Ahora el siguiente paso es configurar el servidor WINS en el equipo cliente. Nos vamos a mis sitios de red con el botón derecho del ratón y le damos a propiedades, (en caso de vista o Windows 7) nos vamos a configurar adaptador, seleccionamos el que estamos usando con el botón derecho y propiedades otra vez Ahora nos vamos a propiedades de TCP-IP. y nos vamos al botón opciones avanzadas. Ahora nos vamos a la pestaña WINS y agregamos la dirección IP del servidor WINS que hemos instalado. Y eso es todo. 70 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 18 Internet e Intranet 18.1 Introducción a Internet e Intranet Pues como ya es sabido, Internet es un conjunto de redes unidad entre si las cuales usan como protocolo de comunicaciones el TCP/IP, hoy en día Internet ofrece una gama alta de prestación de servicios las cuales la mayoría de la gente los estamos usando, esta tecnología y servicios aplicados al interior de una empresa obtiene el nombre de Intranet, la cual está muy difundida en la actualidad y en la mayoría de las empresas se ha implementado y la estamos usando. No es difícil implementar una Intranet, lo único que tenemos que hacer es direccionar todo el desarrollo nuevo en programas hacia esta tecnología y por ende hacia el interior de nuestras empresas, permitiendo así, una constante modernización de los sistemas de las empresas. Nosotros nos enfocaremos principalmente en instalar y configurar una Intranet y por qué no, una Internet. Para eso tenemos primero que todo realizar un conjunto de lecturas de todos los elementos que intervienen y su respectivo funcionamiento. Comencemos primero con IIS - Internet Information Services 18.2 Internet Information Services Internet Information Services 6.0 (IIS 6.0) representa el componente principal para gestionar los servicios web, ftp, smtp y nntp. IIS 7.0 no es una aplicación nueva de Windows ya que acompaña a Windows NT desde la versión 3.51. IIS 7.0 ofrece una administración muy sencilla que se realizará mediante la herramienta denominada Administrador de servicios de Internet. Internet Information Server (IIS) proporciona capacidades de servidor Web integrado, confiable, escalable, seguro y de fácil administración a través de una intranet, de Internet o de una extranet. IIS 7.0 aprovecha los estándares Web más recientes, como ASP.NET, Lenguaje de marcado extensible (XML) y Protocolo simple de acceso a objetos (SOAP) para el desarrollo, implementación y administración de aplicaciones Web. IIS 7.0 incluye nuevas características diseñadas para ayudar a las organizaciones, profesionales de IT y administradores de Web a conseguir sus objetivos de rendimiento, confiabilidad, escalabilidad y seguridad para miles de sitios Web potenciales en un único servidor IIS o en varios servidores. Las ventajas y características que proporciona el Internet Information Server 6.0 son: Confiable: IIS 7.0 utiliza un nuevo entorno de arquitectura de procesamiento de solicitudes y aislamiento de aplicaciones que permite que las aplicaciones Web funcionen en un proceso de trabajo autocontenido. Este entorno impide que una aplicación o sitio Web detenga a otro y reduce el tiempo dedicado por los administradores a reiniciar servicios para corregir problemas relacionados con las aplicaciones. 71 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Escalable: IIS 7.0 presenta un nuevo controlador de modo núcleo para el análisis y el almacenamiento en caché de HTTP, ajustado específicamente para mejorar el rendimiento del servidor Web y la posibilidad de escalar equipos multiprocesador, aumentando así lo siguiente: El número de sitios que puede alojar un solo servidor IIS 7.0 El número de procesos de trabajo activos simultáneamente. Protección: IIS 7.0 incluye varias características y tecnologías de seguridad que permiten garantizar la integridad del contenido de los sitios Web y FTP, así como de los datos que éstos transmiten. Para reducir la vulnerabilidad de los sistemas, IIS no se instala de forma predeterminada en servidores que ejecuten Windows Server . Administrable: Para satisfacer las necesidades de diversos clientes, IIS proporciona varias herramientas de administración y para facilitar ésta. Como administrador, puede configurar un servidor de IIS 7.0 mediante el Administrador de IIS, las secuencias de comandos de administración o la modificación directa del archivo de texto de configuración de IIS. También puede administrar servidores y sitios de IIS de forma remota. Desarrollo mejorado: La familia Windows Server ofrece una experiencia mejorada para el programador gracias a la integración de ASP.NET e IIS. ASP.NET entiende el código de la mayoría de p áginas Active Server (ASP) y proporciona más funcionalidad para generar aplicaciones Web de tipo empresarial que pueden funcionar como parte de .NET Framework. Compatibilidad de aplicaciones: IIS 7.0 es compatible con la mayor parte de aplicaciones existentes. Los sistemas operativos de la familia Windows Server incluyen una nueva directiva, Impedir la instalación de IIS, que permite que los administradores controlen qué servidores, de los que ejecutan Windows Server, tienen permiso para instalar IIS. 18.3 Instalación y configuración de Internet Information Server Vamos a ver como se instala el IIS, este se puede instalar usando el asistente para administrar su servidor, pero en este caso vamos a instalarlo desde el Panel de Control realizando los siguientes pasos. 1. Haga clic en Inicio, seleccione Configuración y haga clic en Panel de control. 2. Cuando se abra el Panel de control, haga doble clic en Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows. Para iniciar el Asistente para componentes de Windows, haga clic en Componentes. 3. a) b) 4. 5. En Componentes, desplácese por la lista y haga clic en: Microsoft .NET Framework 2.0 Servidor de aplicaciones Haga clic en Detalles. En los componentes de servidor de aplicaciones, haga clic en 72 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS a) ASP.NET b) Servicios de Internet Information Server (IIS) y, a continuación, haga clic en Detalles. 6. En el cuadro de diálogo Servicios de Internet Information Server (IIS), en Subcomponentes de Servicios de Internet Information Server (IIS), realice alguna de las siguientes acciones: a) Extensiones de servidor FrontPage 2002 b) NNTP Service c) Servicio SMTP d) Servicio de protocolo de transferencia de archivos (FTP) e) El resto se dejan como están c) Haga clic en Aceptar hasta regresar al Asistente para componentes de Windows. d) Haga clic en Aceptar y, después, en Finalizar. Y veremos como el asistente procede a instalar lo componentes. Ver Imagen 7 18.4 El administrador de Internet Information Server Características del administrador de Internet Information Server. Para administrar Internet Information Server 7.0 dispone de una herramienta denominada Administrador de Internet Information Server, que le permite administrar y configurar todos los servicios incluidos en IIS 7.0 de una manera sencilla. Para acceder al Administrador de servicios de Internet puede hacerlo directamente a través del menú Inicio -> Programas -> Herramientas administrativas -> Administrador de servicios Internet Information. El Administrador de servicios de Internet se divide en dos paneles, el panel de la izquierda se denomina panel de alcance y el de la derecha panel de resultados. Puede distinguir varios elementos, desde el punto de vista de administración. Así por ejemplo dentro de un sitio Web tiene lo siguiente: el propio sitio Web, su directorio raíz, sus directorios virtuales, sus directorios físicos y ficheros. Por cada uno de estos elementos existe una hoja de propiedades con una serie de parámetros configurables diferentes, además presentarán distintas pestañas o fichas según el elemento que tenga seleccionado. 18.5 Administración de Internet Information Server Los parámetros de Internet Information Server pueden configurarse y se pueden administrar sus servidores, sus directorios y archivos en cuatro niveles diferentes. Los cuatro niveles de administración son aplicables a los cuatro servicios que puede albergar: NNTP, FTP, SMTP y WEB. Estos niveles son: Administración en el nivel del servidor: La configuración de los parámetros que se aplican globalmente a todos los servidores virtuales de cada servidor de Windows con IIS instalado. Los parámetros en el nivel del servidor los heredan todos los servidores virtuales y sus directorios y archivos virtuales y físicos. Administración en el nivel del sitio: La configuración de los parámetros que se aplican a un servidor virtual concreto del equipo de IIS, es decir, a un sitio Web, de FTP, de SMTP o de NNTP del equipo. Aunque los parámetros en el nivel del servidor se aplican de manera global a los servidores virtuales que soportan los sitios Web y de FTP del equipo, cada uno de los servidores virtuales puede tener también configurados por separado en el nivel del sitio. 73 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Administración en el nivel del directorio: La configuración de los parámetros que se aplican a un directorio virtual (o físico) concreto ubicado en un servidor virtual. Aunque los parámetros en el nivel del sitio se aplican globalmente a todos los directorios virtuales (o físicos) ubicados en un sitio Web, de FTP, de SMTP o de NNTP concreto, cada directorio puede tener también sus parámetros configurados por separado en el nivel del directorio. Administración en el nivel de los archivos: La configuración de los parámetros que se aplican aun archivo concreto ubicado en un directorio virtual (o físico). Aunque los parámetros en el nivel de los directorios se aplican de manera global a todos los archivos ubicados en un directorio concreto, cada archivo puede tener también sus parámetros configurados por separado en el nivel de los archivos. Estos parámetros en el nivel de los archivos sustituyen a los configurados en el nivel de los directorios y son un subconjunto de los parámetros en el nivel de los directorios. Administración en el nivel del servidor: La administración en el nivel del servidor implica las siguientes tareas: La conexión a un equipo que ejecute IIS para administrar ese equipo. La realización de copias de seguridad de la configuración del equipo y su restauración. La activación del límite del ancho de banda global para todos los sitios Web y de FTP del equipo. La configuración de diversas propiedades maestras que se aplican globalmente a todos los sitios Web y de FTP creados en el equipo. La compresión de los archivos mediante la compresión HTTP. La configuración del mapa global de las Extensiones multipropósito de correo de Internet (Multipurpose Internet Mail Extension, MIME). Administración en el nivel del sitio: La administración de IIS en el nivel de los sitios se diferencia considerablemente en las tareas en función de los cuatro servicios de IIS con los que se puede tratar: WWW, FTP, SMTP o NNTP. Los parámetros en el nivel de los sitios para los sitios Web o FTP nuevos se heredan de las propiedades maestras en el nivel del servidor. No obstante, se pueden modificar los parámetros en el nivel de los sitios y sustituir los valores configurados en el nivel del servidor. Otro punto importante que debe tenerse en cuenta es que los parámetros en el nivel de los sitios los heredan todos los directorios y archivos virtuales y físicos de cada sitio (es decir, del servidor virtual). Esto se cumple tanto si se consideran los sitios WWW como los de FTP, SMTP o de NNTP. Administración en el nivel del directorio: Los parámetros de IIS en el nivel de los directorios los heredan todos los archivos de cada directorio. También sustituyen los configurados en los niveles de los sitios y del servidor. Los parámetros en el nivel de los directorios se aplican tanto a los directorios virtuales como a los físicos de un sitio Web o de FTP concreto. Las propiedades en el nivel de los directorios sólo son un subconjunto de las propiedades en el nivel de los sitios. De hecho, las propiedades maestras del servicio de WWW para un equipo IIS concreto se configuran mediante una página maestra 74 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Propiedades que tiene nueve pestañas: Sitio Web, Rendimiento, Filtros ISAPI, Directorio particular, Documentos, Seguridad de directorios, Encabezados HTTP, Errores personalizados y Servicio. De manera parecida, la ventana de propiedades de cada directorio virtual (o físico) de un sitio Web tiene un subconjunto de pestañas de la ventana Propiedades del sitio Web: Directorio (en vez de Directorio particular), Documentos, Seguridad de directorios, Encabezados HTTP y Errores personalizados. Los parámetros que pueden configurarse en el nivel de directorios son: Ubicación del contenido del directorio (directorio local, recurso compartido de red o re direccionamiento a una URL). Configuración de las aplicaciones (nombre de la aplicación, punto de inicio, permisos de ejecución, etc.). Documentos predeterminados y pies de página de los documentos. Acceso anónimo y control de autenticación. Restricciones de las direcciones IP y de los nombres de dominio. Comunicaciones seguras mediante SSL. Caducidad del contenido. Encabezados HTTP personalizados. Clasificación del contenido. Asignaciones MIME. Errores HTTP personalizados. Administración en el nivel de los archivos: La administración en el nivel de los archivos es el último de los cuatro niveles de administración de IIS. En este nivel se configuran las propiedades de cada archivo del directorio raíz o de otros directorios del sitio Web o de FTP. Aunque la ventana de propiedades en el nivel de los directorios del servidor WWW tenga cinco pestañas, la ventana Propiedades de una página Web dada o de otro archivo sólo tiene cuatro: Archivo, Seguridad de archivo, Encabezados HTTP y Errores personalizados La configuración de las propiedades en el nivel de los archivos es básicamente la misma que la de las propiedades en el nivel de los directorios, salvo que para un archivo no se puede especificar un documento predeterminado, como para los directorios, y no se pueden configurar las opciones siguientes en el nivel de los archivos: Examinar, Indicar este documento y Habilitar pie de página del documento. Además, la ubicación del documento puede especificarse o redirigirse o redirigirse a una URL. 75 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 19 Servidor Web Un servidor Web con Internet Information Server 7.0 de un sitio Web, es decir, más de un dominio, aunque su propia dirección IP. Una dirección IP puede estar servidor Web, aunque esto resulte transparente para dominios. sobre Windows Server puede hospedar más no necesariamente cada dominio deba tener compartida por varios dominios del mismo el usuario que quiera acceder a uno de los Cuando conectarse mediante un navegador a un sitio Web y examinar su página de inicio, se puede especificar la URL del sitio de varias maneras: La dirección IP del servidor Web. El nombre de NetBIOS del servidor Web. El nombre de DNS del servidor. Con un solo equipo y una instalación de IIS puede dar la impresión de que dispone de múltiples equipos, con un sitio Web distinto en cada máquina, cuando en realidad pueden estar en la misma. IIS 7.0. Tiene dos opciones a la hora de hospedar diferentes sitios Web: Asignar varios nombres de dominio y direcciones IP a una tarjeta adaptadora de red, es decir, una dirección IP distinta para cada sitio Web. Utilizar una dirección IP en una tarjeta de red y asignar varios nombres de dominio a la dirección, cada nombre de dominio se corresponderá con un sitio Web diferente. En este caso a una misma dirección IP le corresponden varios sitios Web (multihosting). Un sitio Web va a distinguirse atendiendo a la combinación de tres parámetros: Una dirección IP. Un número de puerto. Un nombre de encabezado de host. 19.1 Administración de sitios WWW Al instalarse el IIS 7.0 se crea un sitio Web predeterminado que es un pequeño ejemplo del modo en que se puede implantar un sitio Web. De hecho, se pueden crear tantos sitios Web como se desee empleando IIS 7.0, y se puede albergar el contenido (las páginas, las imágenes y otros archivos) de esos sitios en diversas ubicaciones. Cada sitio Web se comporta como una entidad separada o servidor virtual; es decir, se comporta como si se ejecutara en su propio servidor y empleara todos los recursos que tuviera disponibles en ese servidor. 19.2 Crear un sitio Web Para crear un nuevo sitio Web debe seguir los siguientes pasos: 1. En el Administrador de IIS, expanda el equipo local, haga clic con el botón derecho del mouse en la carpeta Sitios Web, seleccione Nuevo y, después, haga clic en Sitio Web. Aparece el Asistente para crear un sitio Web. 76 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 2. Haga clic en Siguiente. 3. En el cuadro Descripción, escriba el nombre de su sitio y después haga clic en Siguiente. 4. Escriba o haga clic en la dirección IP (el valor predeterminado es Todos no asignados), el puerto TCP y el encabezado host (por ejemplo, www.cesde.edu.co) para su sitio y después haga clic en Siguiente. La lista de direcciones IP mostrará todas las direcciones IP asignadas al equipo, si selecciona la opción Todos no asignados, el sitio Web responderá a todas las direcciones IP que se encuentren libres. 5. En el cuadro Ruta, escriba o explore el directorio que contiene o contendrá el contenido del sitio, es decir, el directorio de publicación o directorio raíz del sitio Web. También puede indicar si en el sitio Web se van a permitir accesos anónimos o no, lo más común es permitir el acceso anónimo. Después haga clic en Siguiente 6. Active las casillas de verificación para los permisos de acceso del sitio Web que desee asignar a sus usuarios y después haga clic en Siguiente. 7. Haga clic en Finalizar. 8. Para cambiar las otras configuraciones posteriormente, haga clic con el botón derecho del mouse en el sitio Web y haga clic en Propiedades. Si era sencillo crear un sitio Web, más sencillo es eliminarlo. Para eliminar un sitio Web pulse sobre el sitio Web a eliminar con el botón derecho del ratón y seleccione la opción Eliminar. Automáticamente el sitio Web se elimina, pero no se eliminará su estructura física correspondiente, es decir, no se elimina el contenido del sitio Web. 19.3 Propiedades del Sitio Web En él podrá configurar una serie de parámetros relacionados con la identificación del sitio Web, las conexiones al sitio Web y la forma de registrar los accesos a nuestro sitio Web. En cuanto a la identificación del sitio Web tiene cuatro parámetros: . Descripción: Indica el nombre con el que se identifica el sitio dentro de la consola MMC, no se debe confundir con el nombre de dominio o URL que se utiliza para acceder al sitio Web a través de Internet. De esta forma puede cambiar la denominación de sitio Web Predeterminado por la que desee. Dirección IP: Es la dirección IP que tiene asociada el sitio Web, puede elegir una de las que tenga asignadas el servidor o bien elegir la opción Todos no asignados. Si elige esta última opción, estará asignando al sitio Web todas las direcciones IP del servidor que se encuentren libres. Puerto TCP: El número de puerto TCP normalmente no será necesario modificarlo, por defecto el servicio Web se encuentra en el puerto 80. Si modifica el número de puerto, los clientes que se conecten al sitio deberán conocer el número de puerto para escribirlo en la URL correspondiente, el puerto 80 no es necesario escribirlo porque, es el puerto en el que se encuentra el protocolo HTTP por defecto Puerto SSL: El puerto SSL (Escurre Sockets Layer) sólo se debe utilizar para conexiones seguras, basados en certificados de cliente y servidor. También aparece un botón etiquetado como Avanzadas, si pulsa este botón podrá realizar la configuración avanzada del sitio Web. 77 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS En la conexión al sitio Web puede limitar el número de conexiones de clientes o bien indicar que acepta un número ilimitado de ellas. También puede indicar el tiempo de espera máximo (timeout) utilizado para establecer una conexión, esto asegurará que se cerrarán todas las conexiones si el protocolo HTTP no puede establecer una conexión desde el cliente en el tiempo especificado, por defecto son 900 segundos. También es posible indicar que se quiere mantener conexiones HTTP abiertas, para permitir una comunicación más eficiente entre el cliente y el servidor Web. Puede activar el registro del sitio Web seleccionando la opción correspondiente. Tiene diferentes formatos para guardar la información relativa a los accesos del sitio Web. Cada uno de estos formatos definen que datos se van a almacenar y que estructura va a tener el fichero o tabla en la que van a ser almacenados. Existen cuatro formatos posibles y son aplicables tanto a sitios Web como sitios FTP. El formato de log o de registro predeterminado es Formato de archivo de registro extendido W3C. El botón de Propiedades que parece junto a esta opción le permite configurar el formato seleccionado, siempre que el formato lo permita. 19.4 Directorio particular La siguiente opción que se comenta del cuadro de diálogo del sitio Web es la del Directorio Particular. Aquí puede configurar el directorio de publicación del sitio. Aquí puede modificar la ubicación del directorio de publicación del sitio Web, por defecto el directorio de publicación es c:\Inetpub\wwwroot. Se tomará el directorio de publicación indicado si está seleccionada la opción de Un directorio en este equipo. También puede indicar que el directorio de publicación se encuentra en un recurso compartido de red (Un directorio ubicado en otro equipo) o bien puede redirigir a todos los clientes a una URL determinada (Una redirección a una dirección URL). Si pulsa el botón Examinar podrá elegir la ubicación del directorio raíz o directorio de publicación. Para las opciones de Un directorio en este equipo y Un directorio ubicado en otro equipo, las propiedades que aparecen son iguales, pero para la opción Una redirección a una dirección URL aparece únicamente la URL a la que se enviará al cliente y la naturaleza de la redirección. Para que el usuario pueda ver el listado de directorios que se corresponde con el sitio Web debe activar la casilla Examinar directorios, de esta forma si el usuario escribe el nombre de dominio en el que se encuentra el sitio Web sin especificar ninguna página y si el documento predeterminado no está activado en el directorio especificado, aparecerá el listado de directorios en forma de una lista de vínculos de hipertexto correspondientes a los archivos y subdirectorios del directorio virtual actual. Está opción suele estar desactivada, ya que de esta forma revelarías a los clientes la estructura exacta del sitio Web, algo que puede llegar a ser peligroso desde el punto de vista de la seguridad. Si quiere registrar el acceso al directorio raíz debe activar la casilla Registrar visitas, se utilizará el formato de log (registro) que se encuentre definido. 78 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS También dispone de una serie de casillas de verificación que permiten definir el tipo de acceso que va a permitir a los usuarios que se conecten a ese directorio. Si la configuración de los permisos de acceso dados en esta opción no coincide con los permisos de Windows Server a nivel de NTFS, se utilizará la política de acceso más restrictiva de las dos. Si quiere que los clientes únicamente visualicen en su navegador o descarguen los documentos, deberá activar la casilla Lectura. Al deshabilitar un permiso de servidor Web, como Lectura, se impide a todos los usuarios ver un archivo, independientemente de los permisos de NTFS aplicados a esas cuentas de usuario. Sin embargo, al habilitar un permiso se puede permitir a todos los usuarios ver ese archivo, a menos que se hayan aplicado también permisos de NTFS que restrinjan el acceso. Si se establecen permisos de NTFS y de servidor Web, aquellos que denieguen explícitamente el acceso tienen prioridad sobre los permisos que lo concedan. Si quiere que los usuarios puedan cargar (subir) y modificar archivos dentro del sitio Web tiene que habilitar casilla Escritura. Los usuarios pueden tener acceso al código fuente de los archivos. Si la casilla de verificación Lectura está seleccionada, el código fuente se puede leer y, si la casilla de verificación Escritura está activada, se puede escribir en el código fuente. Este tipo de acceso incluye el código fuente de secuencias de comandos, como las secuencias de comandos de una aplicación ASP. Esta opción no está disponible si no se han activado las casillas de verificación Lectura o Escritura. Hay una opción llamada Permisos de ejecución. Estos permisos son relativos a la ejecución de scripts y programas en el servidor, es decir, estos permisos tienen que ver con el contenido ejecutable de nuestro sitio Web. Para no permitir la ejecución de programas ni secuencias de comandos (scripts) en el directorio seleccione la opción Ninguno. Si quiere que se ejecuten secuencias de scripts asignadas a un motor de secuencias de comandos en este directorio seleccione la opción Sólo secuencias de comandos. Y si quiere ejecutar cualquier aplicación dentro de este directorio, seleccione la opción Sec. comandos y ejecutables. Dentro de las opciones Configuración de aplicación puede eliminar una aplicación, indicar el modo de protección de la misma y asignarle un nombre. Por defecto se crea una aplicación denominada Aplicación predeterminada, cuya protección es Media. . Documentos: Otra de las propiedades perteneciente a las propiedades de un sitio Web predeterminado es Documentos. Puede indicar la página por defecto del sitio Web. Cuando un usuario no especifique en el navegador ningún fichero en concreto del sitio Web se mostrará esta página por defecto. Puede indicar diferentes documentos predeterminados, el orden en el que se indican los documentos es significativo, el servidor Web devolverá el primero que encuentre. El orden de prioridad de los documentos lo puede modificar utilizando las flechas. El documento predeterminado podrá ser tanto una página HTML como una página ASP. 79 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Errores personalizados: IIS 7.0 permite personalizar los mensajes de error del protocolo HTTP que se envían a los clientes. A través del cuadro de diálogo Errores personalizados puede indicar los diferentes mensajes de error que se enviarán al cliente. Estos mensajes de error personalizados pueden tener forma de fichero o de dirección URL.. Todas las páginas de errores predeterminadas que se ofrecen con IIS 7.0 se encuentran en el directorio \%WinDir%\Help\iishelp\common. Si quiere modificar un error, selecciónelo y pulse el botón Modificar. Rendimiento: Para ajustar el rendimiento del servidor Web puede utilizar el cuadro de diálogo Rendimiento. En este cuadro puede configurar los siguientes parámetros: Límite de ancho de banda: Se puede activar y especificar un límite si se desea limitar el ancho de banda del sitio Web a un valor dado. Esto resulta útil en situaciones en que determinados sitios tengan menos prioridad que otros, como las páginas personales de los empleados en relación con el catálogo en línea de la empresa. Conexiones de sitio Web: Se puede limitar el total de conexiones activas a un número concreto o dejarlo como Sin límite. Seguridad de directorios. En el cuadro de diálogo etiquetado como Seguridad de directorios puede configurar la seguridad del sitio Web. Se pueden definir distintos niveles de seguridad atendiendo a diferentes criterios, también se puede tener una combinación de la seguridad ofrecida por IIS 7.0 y Windows Server a través de NTFS. Filtros ISAPI. Los filtros del Interfaz de programación de aplicaciones para servidores de Internet (Internet Server Application Program Interface, ISAPI) son DLLs opcionales que llevan a cabo acciones concretas cuando IIS procesa una solicitud de HTTP de un cliente. Está cargado siempre en la memoria del sitio Web. Se puede utilizar la pestaña de Filtros ISAPI (figura 11.19) para instalar una serie de estos filtros y especificar el orden en que debe procesarlos IIS. Los filtros aquí instalados en el nivel de los sitios sólo los utiliza el sitio seleccionado; los filtros instalados en el nivel de los servidores se aplican a todos los sitios del servidor. Por defecto no hay ningún filtro ISAPI instalado. Un ejemplo puede ser, diseñar un filtro ISAPI para que lleve a cabo la autenticación personalizada, cifre los datos, escriba la información del tráfico en un archivo de registro personalizado o lleve a cabo alguna otra acción. Encabezados HTTP: Se puede utilizar la pestaña Encabezados HTTP de la ventana Propiedades de los sitios Web para activar la caducidad del contenido de cada sitio, establecer los valores de las cabeceras HTTP que el servidor devuelve a los clientes (navegadores Web) que formulan solicitudes, activar y especificar las clasificaciones de contenido del Consejo asesor software recreativo (Recreational Software Advisory Council, RSAC) en el servidor y especificar asignaciones MIME adicionales para un sitio Web concreto. 80 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS Registro de la actividad del sitio Web: El servidor IIS proporciona la posibilidad de recopilar información acerca de los usuarios que acceden a nuestro sitio Web, es decir, se permite registrar la actividad del sitio Web. Puede generar ficheros detallados de log (registro) que le ayudarán a la hora de analizar la actividad del sitio Web. Este registro no se debe confundir con el registro habitual que realiza Windows Server, el registro de IIS es más completo y se puede ver como ficheros de texto ASCII o tablas en bases de datos compatibles con ODBC. Con IIS 7.0, se permite definir un registro de la actividad a diferentes niveles, cada sitio Web puede tener su fichero de registro de actividad (log) propio, y puede elegir qué directorios e incluso ficheros se van a incluir en el registro de la actividad. Los datos recopilados en el registro de actividad del sitio Web pueden contener información como la siguiente: Quién ha visitado el sitio Web. A qué información ha accedido el visitante. Cuándo ha visto la información el visitante. Es posible elegir el formato que va a tener el registro de la actividad del sitio, también puede activar o desactivar el registro en los diferentes elementos de un sitio Web. Los datos anotados por el servidor para reflejar las operaciones llevadas a cabo por los usuarios pueden almacenarse en fichero de texto o en una base de datos ODBC, luego puede consultar estos datos de diferente forma según el formato elegido. Administración de directorios virtuales Para distinguir un sitio se tenía en consideración la combinación de tres parámetros: Una dirección IP. Un número de puerto. Un nombre de encabezado de host. El nombre de encabezado de host es el nombre con el que los usuarios conocen el sitio Web, es decir, se corresponde con el nombre de dominio asociado a un sitio Web. Cuando un cliente solicita una página a través del navegador la cabecera de petición http correspondiente contendrá, además de la dirección IP de la máquina, el nombre de dominio que aparece en la URL. Esa información la detecta por el servidor e interpretada de forma conveniente para determinar que sitio Web ha demandado el cliente, de esta forma se podrá diferenciar los sitios Web que tienen asignados una misma dirección IP. Recuerde que para poder utilizar un nombre de dominio lo debe registrar en el sistema de nombres de dominio (DNS, Domain Name System) a través de un servidor de nombres. Directorio físico y directorio virtual Dentro de un sitio Web se puede distinguir dos tipos de directorios, los directorios físicos y los directorios virtuales. Un directorio físico, o directorio simplemente, de un sitio Web es un subdirectorio del directorio de publicación del sitio Web. Es decir, si su directorio de publicación del sitio Web es c:\Inetpub\wwwroot , todos los subdirectorios que cuelguen de él serán directorios 81 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS del sitio Web y no será necesario definir ningún tipo de alias (nombre virtual para acceder a nivel de URL) para ellos, ni ninguna configuración especial. Un directorio virtual es un directorio que no se encuentra contenido en el directorio de publicación del sitio Web, se encuentra fuera de esta estructura, incluso se puede encontrar en otro disco o en una unidad de red. Para los directorios virtuales sí que es necesario definir un alias, que sustituirá a su dirección física real y que será utilizado en la URL cuando se quiera acceder a él. Desde el punto de vista del cliente la utilización de directorios físicos o directorios virtuales es completamente transparente, es decir, el directorio virtual va a ocultar la verdadera ruta al navegador del cliente y cuando acceda a él va a parecer que se encuentra en la misma estructura que el directorio de publicación. El Administrador de Internet Information Services marca de forma diferente a los directorios virtuales para distinguirlos del resto, la forma que tiene de distinguirlos consiste en mostrar un icono de carpeta con un globo terráqueo en la esquina. 19.5 Crear un directorio virtual Para crear un directorio simplemente lo debe crear físicamente dentro de la estructura del directorio de publicación del sitio Web, y lo creará desde el Explorador de Windows. Los cuadros de diálogo que presenta un directorio virtual son iguales que las de un directorio físico, la única diferencia es que el cuadro de diálogo Directorio es sustituido por otro cuadro de diálogo llamada Directorio virtual. La única diferencia de éste cuadro con la de Directorio es que en la ruta de acceso aparece la ruta física del directorio, y en el Administrador de Internet Information Services aparece el alias del directorio y aparece también como si estuviera bajo la misma estructura que los demás directorios físicos. Para crear un directorio virtual el proceso a seguir es distinto que para un directorio físico, ya que se encuentra fuera de la estructura del directorio de publicación del sitio Web. Para crear un nuevo directorio virtual siga los siguientes pasos: 1. Presionar clic sobre el sitio Web o sobre un directorio del sitio Web con el botón derecho del mouse y seleccione las opciones Nuevo, seleccione Directorio virtual. A partir de aquí comienza a ejecutarse un asistente que le guiará en la creación del directorio virtual. 2. Se pide el nombre que le va a asignar al nuevo directorio virtual, es decir, el alias. 3. A continuación debe indicar la ruta física del directorio virtual, para ello se le permite examinar el equipo y elegir el lugar deseado. 4. El siguiente y último paso le permite seleccionar los permisos de acceso que se van a utilizar para el nuevo directorio. 5. Una vez finalizado la selección de los permisos de acceso, presione clic en el botón Finalizar y listo la creación del directorio virtual. El directorio aparecerá al nivel que haya seleccionado para crearlo, aunque físicamente su estructura sea diferente. 82 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 19.6 Propiedades del directorio virtual Tal y como se había hablado anteriormente, uno de los niveles de administración del servidor es la administración a nivel del directorio. Dichos parámetros sustituyen a los configurados en los niveles de los sitios y del servidor y los heredan todos los archivos de cada directorio. Al crear un directorio virtual y visualizar el cuadro de diálogo de Propiedades del directorio, en dicho cuadro se visualizan las propiedades y parámetros que se pueden configurar el dicho directorio. Las propiedades que aparecen son: Directorio Virtual, Documentos, Errores personalizados, Encabezados HTTP y Seguridad de directorios. Los parámetros que se pueden configurar dentro de cada una de estas propiedades son los mismos que en el caso de un Sitio Web, pero restringido a un directorio. 19.7 Permisos NTFS de ficheros y directorios La seguridad desde IIS 7.0 está completamente integrada con la seguridad ofrecida por Windows Server a través de su sistema de archivos NTFS. La herramienta a través de la cual puede configurar los ficheros y directorios a nivel de NTFS es el Explorador de Windows. Para poder cambiar los permisos de un fichero o directorio se debe cumplir una de las siguientes condiciones: tener acceso completo sobre el recurso en cuestión, tener derecho para cambiar permisos o bien ser el propietario del fichero o directorio. El sistema NTFS puede utilizarse para proteger los ficheros y directorios individuales frente al acceso no autorizado. Se permite definir con precisión qué usuarios tienen acceso al contenido y cómo se les permite manipular dicho contenido. 19.8 Permisos de acceso Web Una vez comentados algunos aspectos importantes de la seguridad a través del sistema NTFS, hay que centrarse en la seguridad ofrecida por el servidor Web. Se pueden configurar los permisos de acceso al servidor Web para archivos, directorios y sitios concretos. Estos permisos se aplicarán a todos los usuarios, independientemente de sus derechos de acceso específicos. Los niveles de permisos Web incluyen: 1. Lectura (opción seleccionada de manera predeterminada): Los usuarios pueden ver las propiedades y el contenido del archivo. 2. Escritura: Los usuarios pueden modificar las propiedades y el contenido de los archivos. 3. Acceso al código fuente de las secuencias de comandos: Los usuarios pueden tener acceso al código fuente de los archivos. Si está seleccionado el permiso de Lectura significa que se puede leer el código fuente, si está seleccionado el de Escritura significa que se puede escribir en el código fuente. El acceso al código fuente de las secuencias de comandos permite tener acceso al código fuente de los archivos, como las secuencias de comandos de una aplicación ASP. Esta opción sólo está disponible si se ha seleccionado el permiso de Lectura o el de Escritura. 4. Examen de directorios: Los usuarios pueden ver listas y recopilaciones de archivos. 5. Registrar visitas: Se crea una entrada de registro para cada visita al sitio Web. 6. Indizar este recurso: Permite a los Servicios de Index Server añadir a un índice este recurso. 83 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 20 Servicio FTP Un servicio muy utilizado para acceder a ficheros de forma remota es el servicio FTP. Éste se basa en el protocolo del mismo nombre cuyas siglas significan File Transfer Protocol, o sea, es un protocolo para la transferencia de ficheros. Básicamente FTP ofrece facilidades para trasladar ficheros desde el servidor al cliente o viceversa, teniendo en cuenta los permisos establecidos. Al igual que en el Telnet, una sesión FTP es insegura, pues toda la información, incluyendo la de autenticación, no está cifrada al pasar por la red. Es por ello que normalmente el servidor está configurado para que el usuario root no pueda conectarse. Para poder facilitar a los usuarios bajarse cualquier tipo de fichero, a la vez que permita que determinados usuarios puedan escribir en ciertas zonas del disco del servidor, se necesita un software que controle todo el proceso y un protocolo de comunicación que será el FTP (File Transfer Protocol), Protocolo de Transferencia de Ficheros. El protocolo FTP permite la transferencia de ficheros de un ordenador a otro, bajo un control ejercido por el software servidor y por la configuración de éste. Cuando se establece una comunicación mediante FTP entre dos máquinas ha de superarse una fase previa de autenticación basada en un fichero de contraseñas, de la misma forma que se proporciona una shell en un ordenador, bien de modo local o remotamente a través de telnet. Sin embargo, esta comunicación establecida no es segura, tampoco tiene capacidades de filtrado aunque resultaría muy difícil tomar el control de una máquina, sólo con la conexión vía FTP. Pese a todo, constituye una de las herramientas más útiles para el intercambio de ficheros entre diferentes ordenadores y es la forma habitual de publicación en Internet. 20.1 Funcionamiento del servicio FTP Aunque puedan contemplarse otras posibilidades, hay dos tipos fundamentales de acceso a través de FTP: Acceso anónimo, cuando el contacto con la máquina lo realiza un usuario sin autenticar y sin ningún tipo de privilegio en el servidor. En ese caso, el usuario es confinado a un directorio público donde se le permite descargar los archivos allí ubicados pero sin posibilidad de escribir ningún fichero. No se le permite, normalmente, subir de nivel y listar los contenidos de los directorios de nivel superior. Acceso autorizado, cuando el usuario que solicita la conexión tiene una cuenta con ciertos privilegios en el servidor y , tras autenticarse, se le confina a su directorio predeterminado desde donde puede descargar ficheros y, si la política del sistema se lo permite, también escribir, aunque normalmente se limita su espacio mediante una cuota de disco. Puede estar autorizado a recorrer parte del árbol de directorios y listar su contenido o escribir en ellos, dependiendo del tipo de privilegios que posea. La arquitectura del servicio se basa en un modelo cliente-servidor, donde los clientes serán usuarios externos a su sistema y el servidor se instalará en su sistema. 84 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS FTP usa TCP como protocolo de transporte para toda la comunicación e intercambio de datos entre cliente y servidor. TCP es un protocolo orientado a conexión. Esto quiere decir que se debe establecer una conexión entre los dos nodos antes de que empiece el intercambio de datos entre ambos. Esta conexión estará activa durante toda la sesión FTP. Una conexión orientada a conexión se caracteriza por incorporar mecanismos de detección y corrección de errores y por su fiabilidad. Por eso se puede decir que FTP es muy fiable. FTP usa dos conexiones TCP distintas, una conexión TCP de control y otra conexión TCP de transferencia de datos. La conexión de control se encarga de iniciar la comunicación entre el cliente y el servidor y mantenerla activa, mientras que la conexión de transferencia de datos tiene como objetivo enviar datos entre cliente y servidor. La conexión de transferencia de datos existe solo cuando hay datos que transmitir. Esta conexión se cierra cuando la transferencia de datos ha finalizado, mientras que la conexión de control sigue abierta durante toda la sesión. Cuando el servidor FTP está activo en una máquina, está constantemente escuchando en el puerto 21 esperando la llegada de una petición de conexión de un cliente. Cuando un cliente quiere iniciar una sesión FTP en una maquina remota se sigue el siguiente procedimiento para abrir una conexión de control: 1. Se asigna un número de puerto TCP mayor de 1023 para la aplicación cliente. 2. TCP crea un paquete que incluye la siguiente información: a. Dirección IP del cliente. b. Número de puerto del cliente, que será mayor de 1023. c. Dirección IP del servidor. d. Número de puerto del servidor, en este caso el 21. 3. El paquete es enviado a través de la red hasta la dirección IP del servidor. 4. El servidor recibe el paquete a través del puerto 21 y procesa los datos. 5. El servidor FTP envía un asentimiento al cliente usando la información que el cliente le envió como es la dirección IP y número de puerto del cliente. En este momento la sesión FTP está iniciada y comienza el intercambio de datos para la transferencia de ficheros propiamente dicha. 20.2 Administración del servidor FTP Los conceptos relativos a la administración del servicio son iguales a los del servicio Web, es decir, la configuración se realiza a través de cuadros de diálogo que variarán según el tipo de elemento seleccionado. Al instalar IIS 7.0 se crea un sitio FTP por defecto, es el sitio FTP Predeterminado. Un sitio FTP representa una entidad similar a un sitio Web pero para el servicio FTP, es decir, un sitio FTP está compuesto de un conjunto de ficheros y directorios a partir de un directorio de publicación. Al igual que los sitios Web puede detener, pausar e iniciar el servicio de forma independiente del resto de los servicios. 85 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 20.3 Creación de sitios FTP En un mismo servidor IIS puede tener múltiples sitios FTP, pero no se permite que dos o más sitios FTP compartan una misma dirección IP. Los sitios FTP tienen dos parámetros para distinguirlo: dirección IP y número de puerto. Se recomienda no cambiar el número de puerto, ya que si lo cambia los usuarios lo desconocerán y debe ponerlo en conocimiento de todos ellos. El número de puerto estándar para el servicio FTP es el puerto 21. Crear un sitio FTP es muy sencillo, dispone de un asistente para ello. Los pasos a seguir son: 1. Seleccione la máquina en la que quiere crear el sitio FTP, sitúese sobre la carpeta Sitios FTP y seleccione con el botón derecho del ratón la opción Nuevo, y luego, Sitio FTP, en ese momento se lanzará el asistente correspondiente. 2. Indique la descripción del sitio FTP, esta descripción es únicamente válida a nivel administrativo desde el Administrador de servicios de Internet. 3. Defina los parámetros que van a identificar al sitio FTP, es decir, la dirección IP que le va a asignar y el número de puerto correspondiente. 4. En el siguiente paso debe indicar la opción más adecuada para las limitaciones que se deseen imponer a los usuarios que exploren las carpetas del servidor. Las tres opciones son permitir que los usuarios tengan plena libertad, aislar a los usuarios en su propia carpeta (e inferiores) o utilizar Directorio Activo para administrar los permisos de los usuarios. 5. En el siguiente paso indique el directorio raíz o directorio de publicación del nuevo sitio FTP. 6. Para finalizar, indique los permisos de acceso que va a dar al nuevo sitio FTP creado, es decir, permisos de escritura y/o lectura. Por defecto se concede únicamente permisos de lectura. Para que los clientes puedan acceder al nuevo sitio FTP debe registrar la dirección IP que le ha asignado al sitio en el sistema DNS (Domain Name System) para que puedan acceder por un nombre de dominio en lugar de por la dirección IP que es mucho más complicada de manejar. 86 ESCUELA DE INFORMATICA TÉCNICO EN REDES Y TELECOMUNICACIONES LABORAL SUBMÓDULO ADMINISTRACIÓN DE REDES WINDOWS 21 Ejercicios y ejemplos Tema: Implementación de una Intranet para una Empresa 87