Diseño Funcional Infraestructura Centros Comunitarios

PAG. 1
Diseño Funcional
Infraestructura
Centros Comunitarios Digitales
.
PAG. 2
Tabla de Contenido
Objetivo _______________________________________________________________ 3
Resumen Ejecutivo ___________________________________________________ 4
Descripción de problema _____________________________________________ 6
Objetivos _____________________________________________________________________ 6
Solución Conceptual __________________________________________________ 8
Instalación/Reinstalación Desatendida. _____________________________________________ 8
Administración ________________________________________________________________ 8
Protección de la configuración de PC’s _____________________________________________________ 8
Administración remota _________________________________________________________________ 9
Análisis de utilización __________________________________________________________ 10
Administración y Control CCD __________________________________________________ 10
Análisis de Alternativas de arquitectura ___________________________ 11
Esquema de Dominios y ubicación de Controladores de Dominio _____ 11
Un dominio con controladores de dominio centrales _______________________________ 11
Varios dominios con controladores centrales y locales _____________________________ 12
Dominios independientes en cada CCD ____________________________________________ 13
Sistema Operativo ________________________________________________________ 14
PC-Proxy _________________________________________________________________________ 14
PC-Estación de trabajo ____________________________________________________________ 15
Pruebas realizadas __________________________________________________ 17
Logon y Aplicación de perfiles Local _______________________________________________ 17
Logon y Aplicación de perfiles Remoto (enlace satelital, doble salto) _______________ 17
Replicación entre Controladores de Dominio (enlace satelital, doble salto) _________ 17
Administración remota (enlace satelital, doble salto)_______________________________ 17
Bitácoras de Acceso_______________________________________________________________ 18
Arquitectura Propuesta______________________________________________ 19
Esquema de Dominios____________________________________________________ 19
Perfiles de usuario________________________________________________________ 20
Proxy ______________________________________________________________________ 20
Administración____________________________________________________________ 22
Requerimientos de hardware y software _______________________________ 23
Proxy ______________________________________________________________________________ 23
Estaciones de Trabajo _________________________________________________________________ 24
Apéndices ____________________________________________________________ 26
PAG. 3
Objetivo
El objetivo del presente documento es mostrar la arquitectura propuesta para
la implantación de los Centros Comunitarios Digitales.
Las conclusiones alcanzadas se fundamentan en las pruebas de conectividad
realizadas en conjunto con la SCT y TELECOMM durante el mes de octubre en
las instalaciones del CTO Iztapalapa, utilizando la red satelital instalada en
este lugar por la compañía Gilat Satellite Networks.
PAG. 4
Resumen Ejecutivo
Uno de los proyectos primordiales que soportarán la iniciativa de e-México es
la creación de los Centros Comunitarios Digitales (CCD’s), los cuales prestarán
servicios de informática, Correo Electrónico e Internet para todos los
integrantes de las comunidades del país.
Durante el mes de octubre se realizaron diversas pruebas de conectividad
para determinar el comportamiento del enlace satelital por medio de la
ejecución de operaciones necesarias para implementar diferentes opciones de
administración.
Se encontró que la mayoría de estas operaciones tenía problemas durante las
horas pico y coincidentemente se presentaron interrupciones del enlace
durante estas pruebas.
En la solución propuesta se definen los siguientes elementos:
o
Un directorio de usuarios propio e independiente del resto los otros
CCD’s. De forma que se evite generar tráfico por replicación.
o
Una PC que fungirá como proxy del CCD:
o Proporcionará acceso a la red satelital para el resto de PC’s del
CCD. Este esquema mostró mejorar en forma muy sustancial el
rendimiento y consistencia del acceso a Internet para todas las
PC’s del CCD.
o Este equipo tendrá también la función de almacenar el
directorio de Usuarios del CCD.
o Opcionalmente contará con servicios de firewall/cache y
generará bitácoras del acceso de los usuarios a Internet.
o Podrá ser usada como una estación de trabajo.
o Ejecutar en él la aplicación que se desarrolle para el control de
reservación y asignación de las estaciones de trabajo a los
usuarios del CCD, así como el control de cobro del tiempo y
recursos consumidos por estos usuarios, si así se requiere.
o
La integridad de las PC’s será protegida por medio de:
o Asignación de cuentas de usuarios con menos privilegios sobre
el sistema operativo.
o Perfiles de usuario que limiten las funciones de los mismos.
o Un sistema de archivos más seguro y robusto, con permisos de
acceso.
o
La instalación/recuperación de los equipos de los CCD’s se realizará
con instalaciones automatizadas, que no requieran conocimientos
técnicos del encargado.
o
Revisión y configuración remota por medio del acceso a la consola del
proxy y las PC, y otras herramientas estándares de administración de
Windows 2000 y Windows XP Professional.
PAG. 5
Beneficios
o Proporciona una solución de bajo costo para la implementación de las
funciones del CCD
o Permite la intervención remota por parte de áreas de soporte
centrales.
o Permite una instalación/recuperación desatendida con mínima
intervención central.
o Adecuada para los enlaces de comunicación planeados.
o Permite obtener el análisis detallado del acceso de los usuarios a
Internet.
o La protección en clientes y procedimientos automatizados de
instalación reducirá llamas de soporte.
PAG. 6
Descripción de problema
Las Secretaría de Comunicaciones y Transportes está participando en varias
áreas del proyecto e-México impulsado por el Presidente Vicente Fox. Uno de
estos proyectos es la habilitación de los Centros Comunitarios Digitales
(CCD’s).
Los CCD’s proporcionarán servicios de acceso a Internet a través del browser,
acceso a correo vía Web o SMTP/POP3, FTP y aplicaciones de productividad
(Hoja de Cálculo, Procesador de Palabras, etc.). Para este servicio cada CCD
tendrán entre 10 y 15 computadoras personales.
Inicialmente los CCD’s serán implementados en escuelas donde ya se cuenta
con equipo de cómputo existente. Se continuará con escuelas y oficinas de
servicios del gobierno en cada municipio. En las escuelas el servicio se
proporcionará parte del tiempo a los alumnos del plantel en cuestión, pero
durante el resto del día se proporcionará acceso al público en general.
El alcance final de la implantación es tener un CCD en cada uno de los 2500
municipios.
Objetivos
Los siguientes objetivos se tomaron como base para el diseño de una solución
efectiva para los CCD’s:
ƒ
ƒ
Proveer los servicios planeados:
o
Acceso al servicio de Web a través de browser desde todas las
computadoras personales en cada CCD.
o
Acceso a audio y video que utilicen tecnologías de streaming
o
Acceso al correo por medio de Web y por medio de
SMTP/POP3.
o
Mensajería instantánea.
o
Descarga (download) de archivos por medio de HTTP y FTP.
Proveer facilidad para instalación y recuperación
o
Instalación
desatendida
que
instalación/reinstalación con la
encargado del CCD.
permita
una
rápida
menor intervención del
PAG. 7
o
ƒ
ƒ
Administración
o
Proveer un esquema en el que se proteja la configuración de
las PC’s de modificaciones por error o intencionalmente por
parte de los usuarios del servicio.
o
Permitir a las áreas de soporte y operación central de la SCT la
administración y acceso en forma remota a los equipos de
cómputo ubicados en cada CCD.
Análisis de utilización
o
ƒ
No requerir conocimiento técnico por parte del encargado del
CCD para la instalación/reinstalación
Proveer medios que permitan verificar que las PC’s de los
CCD’s sean utilizadas para el acceso de los servicios de
Internet que la SCT les proveerá.
La solución debe soportar PC’s existentes con sistemas operativos:
Windows 95, Windows 98, Windows 98SE, Windows 2000 Professional
y Windows XP Professional.
PAG. 8
Solución Conceptual
En esta sección se describen algunas de las opciones existentes para cumplir
con los objetivos planteados, analizando las ventajas y desventajas de cada
uno de estas.
Instalación/Reinstalación Desatendida.
Para proveer una solución efectiva para realizar una instalación de las PC’s de
un CCD, se propone desarrollar procesos de instalación desatendida.
Los esquemas de instalación desatendida permiten la instalación y
configuración completa de PC’s sin la intervención o mínima intervención de
encargado del CCD, a partir de los discos compactos del sistema operativo y
paquetes o a través de la LAN desde una copia de éstos almacenada en el
disco duro de otra PC. En estos esquemas se logra una rápida instalación o
recuperación de un equipo sin que el encargado del CCD le dedique tiempo y
sin que deba tener conocimientos técnicos.
En caso de que una PC sufra daños a los archivos del sistema operativo o
paquetes, el encargado puede reinstalar la PC de forma que pueda restablecer
rápidamente el servicio de ese puesto de trabajo y sin que el personal de
soporte de la SCT tenga que viajar a configurar este equipo.
Administración
Protección de la configuración de PC’s
Se propone que para la protección de la configuración de las PC’s y controlar
el uso posible de estos recursos, se establezcan perfiles de usuario.
Estos perfiles de usuario permiten limitar las operaciones de configuración que
el usuario puede realizar en una PC. Entre otras limitaciones, por ejemplo, se
puede negar el acceso a la configuración de la dirección de red, la
modificación del tapiz de escritorio y el protector de pantalla, negar la
instalación de software que el usuario trate de bajar de Floppy, CD o Internet,
etc.
En el caso de equipo nuevo o que tenga los requisitos mínimos necesarios se
sugiere instalar Windows 2000 Professional o la versión mas reciente Windows
XP Professional. Estos sistemas operativos permiten reforzar y realizar de
forma más sencilla esta protección. Entre las características con las que
cuentan estos sistemas operativos y no cuenta Windows 95/98 están las
siguientes:
PAG. 9
ƒ
Permiten configurarlos con el sistema de archivos NTFS, el cual permite
tener permisos de acceso en los fólder y archivos del sistema operativo.
ƒ
Existen diferentes tipos de usuario con diferentes niveles de acceso al
sistema operativo (Administradores, Power Users y Usuarios sin
privilegios). Si los usuarios de los CCD’s son configurados como usuarios
sin privilegios y utilizando el sistema de archivos NTFS, se restringe al
usuario el poder de cambiar configuraciones del sistema, y se evita la
modificación o borrado de programas y archivos del sistema, así como
poder limitar los fólderes donde puede escribir y establecer una cuota
máxima de espacio ocupado por sus archivos.
ƒ
Exige que el usuario proporcione la cuenta de acceso y contraseña,
asegurando que el perfil se va a aplicar a la sesión de trabajo del
usuario.
Debido que en este momento no están completamente definidos los servicios
que se utilizarán a nivel de contenido y que no existe un estimado de los
diferentes usuarios que utilizaran los equipos de un CCD, se sugiere la
utilización de cuentas genéricas, que pueden corresponder a diferentes
perfiles de usuarios.
Estas cuentas y sus correspondientes perfiles son implementados a través de
un dominio en directorio activo de Windows 2000. Las PC’s del CCD
pertenecerán a este dominio. De esta forma será posible aplicar perfiles
(políticas de grupo) en forma general a las PC’s y en especificó a las cuentas
con las que se firmen los usuarios a estas.
Administración remota
Existen distintas herramientas para realizar administración remota sobre
plataforma Microsoft. Sin embargo las herramientas deberán poder utilizarse
a través del ancho de banda y tipo de enlace (Satelital o ADSL) con que estén
comunicadas al Data Center de SCT o hacía Internet (ISP).
Dependiendo del tipo de enlace es factible utilizar las herramientas de
administración de Windows 2000 (menú Administrative Tools) tales como
Computer Management, herramientas de ejecución de comandos remotos,
Telnet y Terminal services entre otros.
Por ejemplo una herramientas que puede ser factible de utilizar para
administrar los CCD’s es el Terminal Services para acceder a las consolas de
las PC’s que hacen funciones de proxy/ruteo para realizar labores de revisión
de funcionamiento del sistema operativo y configuración de este equipo y de
las demás PC’s del CCD.
El control y administración de las PC’s de un CCD se facilita por medio del uso
de un dominio del Directorio Activo de Windows 2000. Esto proporciona
control sobre las PC’s del Sitio.
PAG. 10
Análisis de utilización
El análisis del nivel y tipo de utilización del servicio de Internet por parte los
usuarios de los CCD’s puede ser medido en gran parte a partir del análisis de
las bitácoras del servicio de WebProxy de un firewall. Existen dos opciones
dependiendo del nivel de granularidad que se desee obtener. Si se quiere
saber el comportamiento de un CCD en su conjunto, en el caso de enlaces
que la SCT provea directamente, se puede obtener a partir del log del(os)
firewall(s) ubicados en el Data Center. Si se desea obtener la utilización por
cada estación será necesario configurar un firewall en los equipos que realizan
las funciones de proxy en los CCD’s.
Administración y Control CCD
En forma opcional y dependiendo de los objetivos, necesidades, tamaño y
formas de recuperación de costos, de cada CCD se deberá desarrollar una
aplicación que permita realizar las labores de administración de cada CCD.
Algunas de las funciones que pudiera incluir esta aplicación son:
ƒ
Reservación, asignación y control de tiempo en estaciones de trabajo.
ƒ
Membresía de usuarios en algún plan definido de prepago basado en
horas de uso o en cuotas por períodos semanales o mensuales, por
ejemplo.
ƒ
Control de cobro de pago por el tiempo o membresías, cobro de
consumibles y otros servicios del CCD.
ƒ
Reportes administrativos
membresías)
y
estadísticos
(uso,
tiempo,
dinero,
En los casos en los que un CCD requiera y utilice dicha aplicación, se sugiere
que ésta sea instalada y ejecutada en la PC que tiene funciones de proxy
dentro del CCD.
PAG. 11
Análisis de Alternativas de arquitectura
Como se mencionó en la sección anterior, la utilización de un dominio del
directo de Windows 2000 permite proveer los servicios necesarios para aplicar
los perfiles de usuario y administrar los equipos del CCD.
Esquema de Dominios y ubicación de Controladores de Dominio
Derivado del objetivo de establecer servicio de control y administración se
analizaron varios esquemas de configuraciones de dominio y se probaron a
través de los enlaces satelitales proporcionados por Gilat. A continuación se
describen estos esquemas:
Un dominio con controladores de dominio centrales
En esta alternativa se analizó la posibilidad que los 10 o 15 usuarios de un
CCD salieran a través de WAN para hacer logon en los controladores de
dominio ubicados en Data Center (HUB).
Ventajas
ƒ La administración se facilita al ser mas centralizada.
ƒ
No se requiere que la PC que funge como proxy deba tener la
función de controlador de dominio en los CCD’s.
ƒ
Menos elementos para configurar en los CCD’s.
ƒ
Adicionalmente a las cuentas de usuario genéricas, soporta que
cada usuario puede tener su cuenta debido a que no hay
necesidad de replicar el directorio a cada CCD a través de los
enlaces satelitales.
ƒ
No hay tráfico de replicación entre el Data Center y los CCD’s.
Desventajas
ƒ Desventajas el tiempo de logon es considerablemente mas largo
(7 a 10 minutos hora pico a través del enlace satelital)
ƒ
El enlace satelital no es constante y puede llegar al punto de no
permitir el logon.
ƒ
Si no hay comunicación por el enlace durante un largo período
puede generar problemas para hacer logon en las PC’s. En el caso
de equipos con Windows 2000 o XP mantienen en cache las
credenciales del usuario, que ya haya hecho logon, durante un
periodo definido.
PAG. 12
ƒ
Debido a esta dificultad para la comunicación a los controladores
de dominio es posible que no sea factible acceder las políticas de
grupo (perfiles) y scripts de logon definidos.
Durante la pruebas realizadas en las instalaciones del TELECOMM (CTO
Iztapalapa) con los enlaces satelitales entre dos estaciones se determinó en
forma definitiva que no es factible hacer logon y aplicar los perfiles definidos
desde un servidor controlador de dominio ubicado en el Data Center (HUB),
debido a que los tiempos de respuesta para un logon son inaceptables para un
usuario y pueden no lograrse el logon o la aplicación del perfil.
Varios dominios con controladores centrales y locales
Esta alternativa consiste en particionar el directorio en diferentes bosques con
él objetivo de disminuir el tráfico de replicación, utilizando controladores de
dominio locales y centrales con dominios que abarquen como máximo a 250
sitios (CCD’s) distintos.
Ventajas
ƒ La administración se facilita al ser mas centralizada.
ƒ
El tiempo de logon para los usuarios en cada CCD’s será inmediato
(de 20 a 30 segundos)
ƒ
A pesar de la fragmentación del directorio/dominio en pocos
dominios (y bosques) independientes todavía se pueden establecer
políticas de seguridad y perfiles para las cuentas genéricas de
forma central
ƒ
Asegura que las políticas de seguridad y grupo (perfiles) y logon
scripts, replicados a los controladores de dominio de los CCD’s,
serán accedidas y aplicadas a todas las PC’s de cada CCD.
Desventajas
ƒ Es necesario replicar el directorio a cada controlador de dominios
de los CCD’s.
ƒ
Más elementos que configurar en los CCD’s.
ƒ
La configuración del equipo proxy como controlador de dominio
deberá tener cierto grado de coordinación con los administradores
centrales.
ƒ
Al tener un directorio que abarca a varios CCD’s (250) el tamaño
del directorio crece y genera mayor procesamiento en el equipo
que funge como controlador de dominio en el CCD y podría
resultar en mayor requerimiento de hardware para este equipo.
ƒ
La utilización de cuentas de usuario se deberá restringir al uso de
cuentas genéricas ya que el generar cuentas por usuarios haría
crecer cada directorio de forma tal que la replicación bajo este
PAG. 13
esquema pudiera no lograrse a ejecutar en la ventana de tiempo
definida y los requerimientos de hardware para el controlador de
dominio se incrementarían.
ƒ
Se requieren servidores adicionales en el Data Center, al menos
uno por cada dominio creado.
Dominios independientes en cada CCD
En este esquema cada CCD tiene un dominio y bosque independiente de los
demás.
Ventajas
ƒ El tiempo de logon para los usuarios en cada CCD será inmediato
(de 20 a 30 segundos)
ƒ
Soporta un esquema en que, adicionalmente a las cuentas de
usuario genéricas, cada usuario puede tener su cuenta debido a
que no hay necesidad de replicar el directorio.
ƒ
Asegura que las políticas de seguridad y grupo (perfiles) y logon
scripts, serán accedidas y aplicadas a todas las PC’s de cada CCD.
ƒ
La configuración del equipo proxy como controlador de dominio no
requiere coordinación con los administradores centrales.
ƒ
No hay tráfico de replicación entre el Data Center y los CCD’s.
ƒ
Debido a que el directorio solo soportará a las cuentas locales, el
requerimiento de hardware no será mayor.
Desventajas
ƒ Más elementos que configurar en los CCD’s.
ƒ
La administración tiene menos facilidades y controles
centralizados, por tanto es más compleja para las áreas de
administración y soporte centrales.
ƒ
Debido a que en cada CCD el dominio (y bosque) es
independiente, cualquier cambio a la configuración de seguridad
y/o de perfiles deberá hacerse en el controlador de dominio cada
CCD.
ƒ
Si se planea generar cuentas por usuario específico será necesario
proporcionar dispositivos, medios, procesos y procedimientos de
respaldo y recuperación. Esto es un punto a tomar en cuenta en
caso de recuperación de cero de la PC que fungirá como
controlador de dominio
PAG. 14
Sistema Operativo
Esta sección evalúa las opciones de sistema operativo para los equipos que
estarán ubicados en los CCD’s.
PC-Proxy
Para la PC que tendrá entre otras las funciones de proxy. la alternativa directa
es Windows 2000 Server, debido a que ofrece la flexibilidad y configuración
adecuada para realizar las funciones que tendrá o que factiblemente tendrá:
ƒ
La funcionalidad mínima que deberá tener el sistema operativo
instalado en este equipo deberá ser:
o
Tener la opción de habilitar la funcionalidad de Internet
Connection Sharing (ICS), el cual proporciona configuración
automática de NAT, DHCP y DNS proxy. Está funcionalidad
existe en Windows 98 SE, Windows 2000/XP Professional y
Windows 2000 Server. Sin embargo Windows 2000 Server
mostró mejor desempeño realizando está función, durante las
pruebas efectuadas.
o
Proporcionar un directorio de cuentas de usuarios genéricos y
para administración y la posibilidad de crear cuentas de
usuarios específicos, las cuales puedan usarse en cualquier PC
del CCD y se les apliquen los perfiles definidos.
Solo Windows 2000 Server, Advanced Server y DataCenter
pueden ser controladores de dominio del directorio de Windows
2000.
ƒ
o
Permitir el pasar a través de este equipo para realizar tareas de
revisión y configuración de todas las demás PC’s del CCD.
Windows 2000 Server incluye los servicios de terminal, con
hasta dos sesiones remotas para administración, adicionales a
la sesión de la consola.
o
Ser eficiente en el manejo de conexiones y sesiones de red.
o
Fungir como una estación de trabajo para los usuarios de los
CCD, para maximizar los puestos de trabajo.
o
Tener la seguridad y estabilidad necesarias para proveer mayor
disponibilidad de conexión a las otras PC’s.
Adicionalmente a la funcionalidad básica se busca lo siguiente:
o
Poder definir rangos de IPs (Subnets) específicas en el servicio
de DHCP. Adicionalmente a la funcionalidad del ICS, Windows
2000 Server permite la flexibilidad de poder definir esta función
de manera específica (NAT, DHCP, DNS) permitiendo realizar
configuraciones mas adecuadas para los requerimientos de la
red de la SCT y las definiciones para administración central.
PAG. 15
o
Tener capacidad para soportar un producto de firewall que
provea las capacidades de HTTP Proxy, NAT, ruteo, generación
de logs del uso de Internet y cache. El producto Internet
Security and Acceleration (ISA) server provee esta
funcionalidad.
PC-Estación de trabajo
En el proceso de implantación de los CCD’s, se proporcionarán medios de
comunicación a escuelas donde actualmente ya se cuenta con equipo de
cómputo, por lo que la solución deberá contemplar esta posibilidad e incluir
sistemas operativos anteriores. Sin embargo es importante tomar en cuenta
las características de cada sistema operativo para cumplir con los objetivos
planteados.
Windows 95/98/98SE/ME
Ventajas
o
Sistema operativo actualmente instalado en PC’s de muchas de las
escuelas donde se proporcionarán enlaces de comunicación para
formar CCD’s.
o
Requiere menos recursos de Hardware.
o
Mayor compatibilidad con versiones anteriores de programas
Desventajas
o
El sistema operativo es mucho menos estable que Windows
2000/XP.
o
Mayor esfuerzo de configuración para establecer perfiles (políticas
de grupo).
o
Las opciones para los perfiles son más limitadas.
o
No se puede forzar completamente al usuario para que haga logon
con una cuenta definida y así aplicar perfiles.
o
El sistema de archivos (FAT y FAT32), no permiten proteger a los
fólderes y archivos del sistema. Esto abre la posibilidad de que el
usuario modifique la configuración del sistema, o instale software
que desestabilice el sistema o provoque fallas.
o
No existen muchos mecanismos incluidos dentro del sistema
operativo que faciliten la administración del equipo.
PAG. 16
Windows 2000/XP Professional
Ventajas
o
Muchas veces más estable que Windows95/98/ME
o
Mayor facilidad para establecer y aplicar perfiles a los usuarios
o
Mayor control de las múltiples opciones del sistema operativo por
medio de perfiles.
o
Existen diferentes niveles del acceso al sistema operativo por
medio de grupos de usuarios (administradores, operadores, power
users, usuarios sin privilegios) con diferentes privilegios definidos.
o
Logon forzoso, garantizando que el usuario tendrá el perfil y los
permisos de acceso planeados.
o
Soportan el sistema de archivos NTFS. Este posibilita el proteger
los fólderes y archivos de sistema operativo, contra modificaciones
no autorizadas. El usuario solo puede escribir en los fólderes
definidos para ese propósito. Es posible definir cuotas máximas
para archivos almacenados por el usuario.
o
Existe una función adicional del sistema operativo, el cual recupera
los archivos y programas originales del mismo, si estos son
sustituidos o borrados.
Desventajas
o
Mayores requerimientos del Hardware.
o
Menor compatibilidad con programas anteriores (Heredados).
Nota: Windows 3.1/Windows NT3.51/Windows XP Home Edition, no soportan
la aplicación de perfiles de usuario, por los que no son una opción para esta
solución.
PAG. 17
Pruebas realizadas
En esta sección se resumen las pruebas realizadas durante el piloto en las
instalaciones de TELECOMM en el CTO Iztapalapa.
El laboratorio contó con dos estaciones satelitales de Gilat y dos estaciones de
Hughes. Sin embargo debido a que la configuración de Hughes no estuvo a
punto y que no estaba habilitado el ruteo entre las dos estaciones solo fue
posible realizar pruebas a través de las estaciones de Gilat.
Logon y Aplicación de perfiles Local
En estas pruebas se probó el acceso al DNS local, se ejecutaron operaciones
de Logon y aplicación de perfiles con sistemas operativos Windows 2000
Professional, Windows XP Professional y Windows 98. La operación de logon y
aplicación de las políticas de grupo (perfiles) desde el controlador de dominio
local tardó entre 20 y 30 segundos.
Logon y Aplicación de perfiles Remoto (enlace satelital, doble salto)
Se realizaron múltiples pruebas de logon en forma remota, simulando el
enlace hacia el HUB con las dos estaciones satelitales disponibles. Los tiempos
para hacer logon y recuperar las políticas de grupo (perfiles) fueron
extremadamente largos (entre 7 y 10 minutos). Aún tomando en cuenta el
doble salto el tiempo es mayor al aceptable para un usuario del servicio. En
ocasiones se observó que la PC no lograba obtener la política de grupo y por
tanto no era factible aplicarlas.
Replicación entre Controladores de Dominio (enlace satelital, doble
salto)
Se probó la replicación entre dos controladores de dominio, cada uno ubicado
en una de las estaciones satelitales. A pesar de que esto se logró en algunas
ocasiones, durante las horas pico no fue factible realizar esta comunicación.
Lo normal es que la replicación se realice fuera de horario.
Administración remota (enlace satelital, doble salto)
Se realizaron pruebas en diferentes horarios accesando al equipo proxy desde
la otra estación por medio de los Servicios de Terminal de Windows 2000.
PAG. 18
En horas pico prácticamente no se logró la comunicación entre los equipos.
Después de las 8:30pm se logró trabajar con fluidez con esta herramienta y
con pocas interrupciones
Posteriormente se realizaron pruebas con los servicios de terminal a través
de HTTP. Y se logró hacer conexión durante el día de forma un poco menos
lenta.
Ya en la consola del equipo proxy, a través de los Servicios de Terminal, se
probaron herramientas como “Computer Management” desde la cual se
accede a un 90% de la administración de este equipo y en forma remota a la
de las demás PC’s del CCD (Está disponible solo en Windows 2000 y Windows
XP). Se accedieron a los discos de los equipos a través de los “shares”
administrativos (Windows 2000/XP únicamente).
También se tuvo acceso a las consolas de los equipos que contaban con
Windows XP Professional a través del servicio “Remote Desktop”.
A manera de conclusión durante las horas pico parece poco factible realizar
actividades de revisión y configuración remota.
También durante las horas pico se observó interrupción de comunicación
entre las estaciones satelitales e interrupción del enlace (VSAT fuera de línea),
aspecto que dificultó la ejecución de las pruebas realizadas.
Se determinó que a partir de las 8:30pm, en ese ambiente de pruebas, fue
factible realizar tareas de revisión y configuración en forma remota en el
proxy del CCD y en el resto de las PC’s
Bitácoras de Acceso
Se instaló Internet Security and Acceleration (ISA) server el equipo proxy
sustituyendo los servicios del Internet Connection Sharing. Se habilitaron los
servicios de NAT, Web Proxy y Cache de ISA. Se ruteo la comunicación
recibida por el Web Proxy para seguir utilizando el RPA de Gilat. Se configuró
el Cache y antes de hacer la petición a Internet se verificaba la existencia del
contenido en el cache. Se generó un log de acceso de contenido a través del
servicio de Web Proxy.
PAG. 19
Arquitectura Propuesta
A partir de las alternativas planteadas y a los resultados de las pruebas con
los enlaces satelitales, se definió la configuración que se describe a
continuación.
Satellite
Internet
Controlador de Dominio
NAT, DHCP, DNS
Windows 2000 Server
ISA Server (opcional)
Opcional: Web Proxy
Bitácoras de acceso
Cache
PROXY
Windows XP Professional
Office XP
HUB
Firewall
CCD
VSAT
Esquema de Dominios
Se propone el manejar dominios y bosques independientes en cada CCD,
debido a que:
o
no existe el objetivo para que las cuentas de usuario definidos en un CCD
puedan ser utilizadas en otro.
o
A la posibilidad de que se puedan crear cuentas por usuario específico
por razones de membresía y/o cobro del servicio, con lo que el directorio
de usuarios crecería en forma importante, así como sus actualizaciones.
o
Es deseable evitar tráfico de replicación, debido al comportamiento
observado durante las pruebas y a la naturaleza intrínseca de los enlaces
satelitales.
o
El mantener bajos requerimientos de hardware para los equipos de
computo que fungirán como controladores de dominio. Estos equipos
adicionalmente harán funciones de NAT y/o proxy, cache y podrán ser
utilizados como estaciones de trabajo para los usuarios del CCD.
o
El poder reinstalar la infraestructura completa en base a procedimientos
y scripts automatizados que requieran mínima coordinación con la
administración central.
PAG. 20
Sin embargo como ya se mencionó antes, este esquema dificultará la
administración centralizada. Debido a esto se deberán realizar acciones que
garanticen medios para acceder a los recursos de los CCD’s. Entre las
estrategias que se deben de seguir será el asegurar el tener cuentas de
administración y claves de acceso que permitan al personal de administración
y soporte central el poder administrar al controlador de dominios de cada CCD
y proporcionar una cuenta con menos privilegios al encargado de cada CCD.
Perfiles de usuario
Se crearán grupos de usuarios y cuentas genéricas estándares para todos los
CCD’s. Se definirán perfiles de usuario para cada grupo de usuario estándar
tanto para sistemas los sistemas operativos Windows 2000/XP y Windows
95/98.
En el caso de los sistemas operativos Windows 2000 y Windows XP
Professional, se establecerán estos perfiles por medio de la facilidad de las
políticas de grupo del Directorio Activo de Windows 2000.
Para los sistemas operativos Windows 95/98/98SE se realizará por la
herramienta de políticas del sistema (podelit). Esta facilidad existe también en
Windows 2000 para soportar la aplicación de perfiles en forma remota para
los sistemas operativos de versiones anteriores.
Será necesario implementar un mecanismo que permita realizar la
actualización de estos perfiles en el controlador de dominio de cada CCD, de
forma que sea factible el poder hacer cambios y mejoras a estos perfiles.
Si se está adquiriendo nuevo equipo de cómputo para implementar un CCD o
si el equipo cumple con los requerimientos mínimos, se recomienda que el
sistema operativo Windows XP Professional o en su defecto Windows 2000. En
la sección de alternativas se describen los motivos por lo que estos sistemas
operativos son los ideales para controlar y proteger la configuración de las
PC’s en los CCD’s.
Proxy
Como se encontró en las pruebas realizadas por la SCT con la red satelital la
utilización de un equipo que funja como proxy entre el enlace satelital y el
resto de PC’s del CCD, mostró mejores resultados que la conexión en forma
independiente de cada PC.
Una de las PC’s que formarán parte de un CCD’s tendrá en su configuración
dos adaptadores de red (deberá cumplir con los requerimientos mínimos de
hardware definidos mas adelante) y dependiendo de sus funciones deberá
estar configurada con los siguientes servicios:
Funcionalidad solo para compartir enlace:
o
Servicio de NAT entre la red interna del CCD y la red proporcionada
por el enlace satelital.
PAG. 21
o
Servicio de DHCP con los rangos de direcciones IP, definidos para cada
CCD.
o
Servicio de DNS, para la funcionalidad de cache.
Durante las pruebas se utilizó la función de Internet Connection Sharing
(ICS) de Windows para configurar de manera muy simple estas funciones
(NAT, DHCP, DNS proxy), sin embargo se sugiere que estas funciones se
configuren por medio de la herramienta Routing and Remote Access,
debido a que da la facilidad de establecer esta funcionalidad de forma
configurable para implementar definiciones mas adecuadas para la
administración central.
Funcionalidad de proxy/firewall:
o
Servicio de NAT entre la red interna del CCD y la red proporcionada
por el enlace satelital.
o
Servicio de DHCP con los rangos de direcciones IP, definidos para cada
CCD.
o
Servicio de DNS, para la funcionalidad de cache.
o
Servicio de Proxy de HTTP entre las red interna del CCD y la red
proporcionada por el enlace satelital. Este servicio de proxy deberá ser
capaz de redireccionar las peticiones hacia el puerto del software
acelerador de páginas del proveedor satelital (si el proveedor
proporciona alguno).
o
Generación de bitácoras de accesos a Internet por parte de los
usuarios del CCD.
o
Cache de contenido. Esto liberará al enlace satelital de peticiones
frecuentes realizadas por usuarios del CCD.
o
En el caso de los CCD’s que tengan enlace directo a Internet por medio
de un ISP, también deberá realizar funciones de firewall por medio de
filtrado de paquetes e implementar una VPN para comunicarse con la
red la SCT a través de Internet.
Para el caso de los enlaces que estarán conectados a la red de la SCT, la
funcionalidad de generación de logs es opcional, solo será necesaria si se
quiere tener el detalle de acceso a Internet por cada PC de un CCD. De otra
forma el firewall central de en el Data Center proporcionará los accesos
globales de cada CCD.
Para los CCD’s que estarán conectados directamente a Internet por medio de
un ISP, la funcionalidad de firewall y la generación bitácoras locales de acceso
es una función necesaria.
Adicionalmente a estas tareas este equipo tendrá la funcionalidad de
controlador de dominios con que se soportará el directorio de usuarios.
PAG. 22
Redundancia
Si se tuviera como objetivo el tener mayor disponibilidad a los servicios que
provee este equipo una opción de bajo costo es que otra de las estaciones de
trabajo, en uso en el CCD, tenga la misma configuración del equipo proxy. De
esta forma si el equipo sufre una falla mayor será posible remplazar el equipo
dañado por éste y reanudar el servicio de una forma muy rápida y sin esperar
el tiempo de reparación. Este equipo de respaldo puede ser configurado
ejecutando los procedimientos automatizados de instalación/recuperación del
proxy.
En caso de que en este CCD’s se estén creando cuentas por usuario específico
será necesario ejecutar procedimientos adicionales para restaurar el directorio
de una copia de respaldo. Otra opción es que este segundo equipo desde un
inicio sea también un controlador del dominio y por tanto mantenga todo el
tiempo una copia del directorio de usuarios actualizada.
Administración
Para realizar la administración remota el equipo proxy, éste tendrá instalados
los Servicios de Terminal y el componente para acceso a este servicio a través
de Web.
Debido a la configuración de acceso a la red a través del equipo proxy, si se
quiere revisar la configuración del los equipos de un CCD, es necesario pasar
a través del proxy. A menos de que este provea una VPN hacia su red.
La utilización de los servicios de terminal permiten acceder a la consola del
equipo proxy. A partir de este punto es posible utilizar diversas herramientas
para revisar y configurar a los equipos del CCD si las PC’s del CCD cuentan
con Windows 2000 o Windows XP Professional. Si las PC’s del CCD cuentan
con Windows 95/98/98SE las opciones de administración remota son muy
limitadas.
Windows XP soporta un servicio limitado de los servicios de terminal (Remote
Desktop) lo cual permite tener acceso a la consola de cada PC de un CCD que
cuente con este sistema operativo. Si las PC’s de un CCD tienen otro sistema
operativo y se desea tener una funcionalidad similar se deberá adquirir
software adicional de terceros para este propósito.
PAG. 23
Requerimientos de hardware y software
A continuación se describe el software y hardware recomendado para la
configuración propuesta:
Acceso a Web
Streaming de Video
Correo
Mensajes Instantaneos
Estaciones de Trabajo
Windows XP Professional
Office XP
Controlador de Dominio
NAT, DHCP, DNS
Acceso a Web
Streaming de Video
Correo
Mensajes Instantaneos
Opcional: Web Proxy
Bitácoras de acceso
Cache de Contenido
Uso como Estación de Trabajo
PROXY
Windows 2000 Server
ISA Server (opcional)
VSAT
Proxy
Software
o
Windows 2000 Server SP2
o
Internet Explorer 5.5 SP2 o 6.0
o
Internet Information Services 5.0
ƒ
Web
ƒ
FTP
o
DNS
o
Terminal Services
Estaciones de Trabajo
Windows XP Professional
Office XP
PAG. 24
o
Web Terminal Services Component
o
Software acelerador de páginas del proveedor del enlace satelital (si el
proveedor proporciona alguno).
o
Software de Antivirus.
o
ISA Server (Opcional)
o
o
Firewall
o
Cache
Aplicación de administración y control (opcional)
Hardware
o
Pentium III 700 Ghz o mayor
o
256 Mb de RAM (mínimo soportado 128 MB, sin instalar ISA Server)
o
20 GB en Disco
o
2 Tarjeta Ethernet 10/100 Mbs ó
1 Tarjeta Ethernet 10/100 Mbs y 1 Tarjeta Inalámbrica 11 Mbs (IEEE
802.11b).
o
Tarjeta de modem 56 Kbs (opcional)
o
Monitor, teclado y mouse.
o
Concentrador o switch ethernet 10 o 10/100 Mbs ó
Access Point 11 Mbs (IEEE 802.11b).
Estaciones de Trabajo
Software
o
Windows XP Professional
o
Office XP
o
Enciclopedia Encarta
o
Software de Antivirus.
PAG. 25
Hardware
o
Pentium III 300 Mhz o superior
o
128 Mb de RAM
o
10 GB en Disco
(1.5 GB Windows XP,
210 MB Office XP,
1.6 GB Encarta en el disco)
o
1 Tarjeta Ethernet 10/100 Mbs ó
1 Tarjeta inalámbrica 11 Mbs (IEEE 802.11b)
o
Monitor, teclado y mouse.
PAG. 26
Apéndices