de otros dominios
Anuncio
+ Administración Windows Server 2003 Técnico en Administración de Sistemas y Redes TCP/IP Modulo 2. Administración básica de sistemas Windows Server + Parte 1. Windows Server 2003 Instalación, Administración y Configuración Administración Windows Server 2003 + Índice Parte 1 – Admin WS2003 Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo + Introducción Windows Server 2003 es Windows XP + Servicios de Servidor ¿Por qué estudiar Windows Server 2003? Fiabilidad Material didáctico y de apoyo Windows 2008 no presenta mejoras demostradas respecto de la R2 + Introducción Las nuevas características de Windows Server 2003 hacen que sea hasta el momento, el sistema operativo Más estable Robusto Escalable Mejor orientado a perfeccionar el rendimiento y prestaciones para distintos roles: Aplicación Servicios web Servicios de directorio Servicios file & print Servicios de infraestructura + Introducción + Ediciones de Windows Server 2003 Existen varias ediciones de Windows Server 2003 Standard Edition Enterprise Edition Datacenter Edition Web Edition Cada edición está orientada a un uso característico de la plataforma, como se ve a continuación + Ediciones de Windows Server 2003 Standard Edition Sistema operativo servidor fiable ideal para satisfacer las necesidades diarias de empresas de todos los tamaños Proporcionando la solución óptima para compartir archivos e impresoras conectividad segura a Internet implementación centralizada de aplicaciones Entorno de trabajo que conecta eficazmente a empleados, socios y clientes Soporta hasta 4 procesadores Posee 4 Gb de Memoria RAM + Ediciones de Windows Server 2003 Enterprise Edition Plataforma preferida para grandes y medianas compañías para implementar aplicaciones de forma segura, así como servicios Web Integra infraestructuras aportando fiabilidad, mejores rendimientos y un elevado valor empresarial Se presenta tanto en 32 como en 64 bit. Soporta hasta 8 procesadores. Hasta 64 Hasta 64 Gb de memoria RAM además permite clustering de hasta 8 de hasta 8 nodos + Ediciones de Windows Server 2003 Datacenter Edition Es el servidor escogido para aplicaciones críticas de negocio así como como las consideradas de misión crítica, que exigen los más altos niveles de uptime, escalabilidad y fiabilidad Se presenta en las versiones de 32 y 64 bit. Permite escalar por encima de las 8 vías o procesadores alcanzando hasta 64 procesadores en paralelo + Ediciones de Windows Server 2003 Web Edition Optimizado específicamente para albergar y servir páginas web Mantiene las funcionalidades esenciales que garantizan la fiabilidad, seguridad y facilidad de gestión Es la edición adecuada para implementar servidores web dedicados a bajo coste + Requisitos de Instalación A continuación se muestran los requisitos del sistema de la familia Windows 2003 Server Requisito Web Edition Standard Edition Enterprise Edition Datacenter Edition 400 Mhz (para X86) 733 Mhz (Itanium) Velocidad mínima CPU 133 Mhz 133 Mhz 133 Mhz (para X86) 733 Mhz (Itanium) Velocidad recomendada 550 Mhz 550 Mhz 733 Mhz 733 Mhz Memoria RAM mínima 128 MB 128 MB 128 MB 512 MB Memoria recomendada 256 MB 256 MB 256 MB Espacio de disco 1,5 GB 1,5 GB 1,5 GB (paraX86) 2 GB (Itanium) 1 GB 1,5 GB (para X86) 2 GB (Itanium) + Nuevas características de Windows Server 2003 R2 Algunas de las nuevas características que presenta W2003 Server R2 respecto a ediciones anteriores son las siguientes: Automated System Recovery Permite recuperar el SO a su estado anterior Utiliza un diskette de información de la configuración y un set de backup Cuando se quiera iniciar el proceso de Recovery se debe tener además el cd-rom de instalación de W2003 Server Volume Shadow Copy Ayuda a recuperar archivos perdidos erróneamente. Para ello guarda versiones anteriores de archivos para su posterior recuperación eliminando la necesidad de recurrir al restore de Backup + Nuevas características de Windows Server 2003 R2 Encrypted File System (EFS) Permite realizar un encriptación del sistema de archivos en forma segura y también que otros usuarios tengan acceso a esos archivos Driver Rollback Esta es una nueva utilidad para el manejo de versiones en Drivers de dispositivos y permite volver a la versión anterior del anterior Driver Reboot Reason Collector “Event Tracker” Esta nueva herramienta permite recolectar para su análisis los motivos por los cuales un Server se reinicia, se apaga, o fue apagado por falta de energía + Nuevas características de Windows Server 2003 R2 + Nuevas características de Windows Server 2003 R2 Novedades en Active Directory ADMT versión 2.0 Active Directory Migration Tool permite migrar passwords desde Windows NT 4.0 a Windows 2000 y Windows Server 2003, o desde Windows 2000 a Dominios Windows Server 2003 Schema La flexibilidad de A. D. ahora permite la desactivación de atributos y definición de clases en A. D. Schema Asimismo se agrega nueva funcionalidad que permite borrado de Schema Group Policy Aparece GPMC (GP Manage Console) que permite administrar múltiples dominios, activar y desactivar políticas, etc. Políticas de Restricción de SW Por medio de estas policies se pueden proteger los entornos de SW no autorizados, especificando el software que si lo está Manejo de Sites Incluye un nuevo algoritmo de Inter-site Topology Generator eliminando la limitación previa de 500 sites a 5.000 + Nuevas características de Windows Server 2003 R2 Novedades en IIS (Internet Information Services) 6.0 Arquitectura de Procesos Fault-Tolerant Aísla web sites y aplicaciones en unidades llamadas “Application pools” Estas proveen una forma conveniente de administrar web sites y aplicaciones Incrementan la confiabilidad Health Monitoring IIS 6.0 chequea periódicamente el estatus de los Aplication Pools y los reinicia automáticamente en caso fallo del web site o aplicaciones dentro de ese AplicationPool, incrementando la disponibilidad Integración con Aplicaciones Ofrece integración con ASP.NET, Microsoft.NET Framework Framework y XML Web Services Pasando a ser la plataforma especialmente diseñada para aplicaciones .NET Seguridad Con IIS 6.0 esta seguro desde su instalación, requiriendo que el administrador habilite las funciones especiales y necesarias para correr el Web Site + Principales Funcionalidades Las principales funcionalidades de Windows 2003 Server R2 son: Domain Controler (Active Directory) Los controladores de dominio almacenan datos del directorio y manejan la comunicación entre los usuarios y los dominios, incluyendo procesos de conexión del usuario, autentificación y búsqueda del directorio Cuando se instala AD en Windows Server 2003 La computadora se convierte en Controlador de Dominio (DC) Los servidores de dominio que no son DC son Servidores Miembro Los servidores no asociados a un dominio se llaman Servidores de Grupo de Trabajo File Server Proporciona una localización central en su red donde puede almacenar y compartir archivos con los usuarios a través de la red + Principales Funcionalidades Print Server Proporciona una localización central en su red, donde los usuarios pueden imprimir Además provee a los clientes los drivers actualizados de las impresora y maneja la cola de impresión y la seguridad DNS Server Es un servicio estándar de internet y de TCP/IP Permite a las computadoras cliente ubicarse en su red y resolver nombres de dominio DNS Una computadora configurada para proporcionar servicios del DNS en una red es un servidor DNS, lo que es necesario para AD + Principales Funcionalidades Terminal Server Provee a computadoras lejanas acceso a los programas en Windows que funcionan en todas las versiones del Server 2003 Se instala una aplicación en un solo punto y en un solo servidor. Los usuarios múltiples, entonces podrán tener acceso a la aplicación sin la instalación de la misma en sus computadoras Servidor DHCP es un estándar IP para simplificar la administración de la configuración IP del Cliente El estándar DHCP permite utilizar los servidores de DHCP para manejar la asignación dinámica de las direcciones y la configuración de otros parámetros IP para clientes DHCP en su red + Qué se puede ejecutar en el sistema MS-DOS Con VDM (Virtual DOS Machine), que emula un 486 (Intel 80486) + MS-DOS No ejecutan aplicaciones con acceso directo a HW Cada aplicación en VDMs distintas = independencia + multitarea Win-16 Con WoW (Windows on Windows) o Win16 VDM Emula 486 + MS-DOS + Win 3.1 No ejecutan aplicaciones con acceso directo a HW Tampoco aplicaciones con llamadas al SO no documentadas Misma Win16VDM para todas las aplicaciones = dependencia + monotarea Win 32, es la interfaz nativa Subsistema POSIX, hasta la versión 1.x + sistema de ficheros NTFS + Índice Windows Server 2003 Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo + Red de Windows Server Puede funcionar como: Grupo de trabajo Dominio + Grupo de trabajo Conjunto lógico de máquinas unidas en red donde una o más máquinas tienen un recurso compartido (ej. Directorio compartido o impresora compartida) SAM Windows 2000 security account manager BD Windows 2000 B BD Windows 95 y 98 no tienen bases de datos de seguridad local Si en A tenemos w2000 y en B también, tenemos dos BBDD de seguridad distintas Los pondremos en el mismo grupo de trabajo escribiendo en ambas BD + Grupo de trabajo Si en A compartimos algo, no basta con que cualquier usuario de B quiera acceder, debido a que son distintas BBDD (en A quizá el usuario de B ni siquiera está dado de alta) Por tanto los usuarios deben estar replicados (en A y en B) A cada recurso se le pueden establecer permisos de acceso concretos para usuarios concretos, mediante ACL (Access Control List), que es una especie de lista de usuarios que lo pueden emplear Ventajas e inconvenientes: Hay que dar de alta a los usuarios en TODAS las máquinas Válido para redes pequeñas (según Microsoft, hasta 10 máquinas) Válido para grupos de personas que “saben lo que están haciendo” + Dominio Conjunto lógico de máquinas unidas en red donde una o más de ellas tienen un recurso compartido y en el que existe una BD de seguridad central + Dominio NT BD de seguridad central Ejemplo: Win NT Server BD Máquina llamada PDC (Primary Domain Controller): Servidor con BD de seguridad central, instalada en 1er lugar W2000 No tiene BD de seguridad local, usa la central Win NT Server Win NT Server BD BD de seguridad central, copia de la original No tiene copia de BD de seguridad local: Servidor miembro (máquina servidora sin copia de BD) Máquina BDC (Backup Domain Controller) cada cierto tiempo se mandan datos del PDC al BDC, para guardarlos los cambios, autenticaciones, consultas, los admite PDC usuarios acceden SOLO al PDC. Si se cae, debemos (como administradores) promocionar el BDC como PDC o copiar sus BBDD es recomendable tener al menos un BDC + Dominio 2000 ó 2003 BD de seguridad central Ejemplo: Win Server 2003 BD Máquina DC (Domain Controller), instalada en 1er lugar W2000 No tiene BD de seguridad local Win Server 2003 Servidor miembro (máquina servidora sin copia de BD) Win Server 2003 BD BD de seguridad central Máquina DC (Domain Controller) del mismo peso y función cada cierto tiempo se replican datos de una a otra y viceversa los cambios, autenticaciones, consultas, …los admiten ambas indistintamente Active Directory almacena objetos (usuarios, direcciones, grupos, impresoras, etc.) + Dominio 2000 ó 2003 Todas las operaciones se pueden hacer en cualquier BD de seguridad central, llamadas Active Directory sin distinción Hay unos 5 papeles concretos que se deben hacer en uno concreto, para evitar problemas de consistencia: Se borra usuario U en S1 Antes de la replicación de esa eliminación entre S1 y S2, U se autentica en S2 y accede… Se solventa como veremos más adelante + Dominio 2000 ó 2003 Se crea una topología de replicación de forma que antes de 30 minutos se complete En esta topología unas BBDD se replican en otras, y así sucesivamente Un dominio implica una BD, n dominios => n BBDD Seg. Central + Dominios y Grupos de Trabajo Cada usuario y cada máquina puede estar sólo en un grupo de trabajo y en un dominio sí puede estar en 1 grupo y en 1 dominio a la vez, pero solo en uno de cada Windows XP Home Edition solo para para grupos de trabajo, no dominios Windows Professional, Vista y 7: Standard Edition: hasta 4GB y 4 procesadores Para redes pequeñas con servicios básicos. Tiene DNS dynamic update control Enterprise Edition: hasta 36 GB y 8 procesadores Redes con más memoria y potencia, uso de clustering Datacenter Edition: hasta 64 GB y 36 procesadores Casi no se usa en todo el mundo Web Edition: para 2 GB y 2 procesadores Para servidores Web sin Active Directory + Active Directory Almacena objetos Necesita unidades organizativas de objetos, ya que no hay límite en el número de los mismos y el AD sería inmanejable Esas unidades organizativas son la mínima unidad en la que podemos delegar, y las gestionan administradores concretos + Dominios múltiples … … … Se pueden tener dominios múltiples dentro de un mismo árbol … En W2003 Server salvo razón de peso nos basta con un solo dominio (99% de las veces) Con administraciones descentralizadas, en varios países, con distinto idioma, … se usarían más dominios Con, por ejemplo, dos oficinas, una en Madrid y otra en Barcelona, nos basta 1 dominio y varios SITIOS (uno en cada ciudad) En un mismo sitio, la replicación es más rápida, y entre sitios más lenta Existe un catálogo global (como páginas amarillas) de todos los dominios de una red Es como la unión de todos los ADs pero solo con la información relevante + Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Índice Dominios DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo Windows Server 2003 + Licencias Windows Server 2003 A diferencia de la mayoría de entornos Linux, Windows es de pago, y por tanto es necesario “comprar” el software Windows 2003 cuenta con dos tipos de licencias: Por puesto: cada ordenador tiene su propia licencia, con lo que existe independencia respecto del número de servidores Por servidor: la licencia es para un único servidor DC, y el resto de servidores validan su copia software a través suyo También existen licencias VLP (volume license product), que son licencias para un conjunto de máquinas de forma que no requieren ser activadas mediante las herramientas del sistema + Configuración de un entorno de Servidores Idealmente se comienza creando un dominio. Para ello, se instala un único servidor DC, que crea el Active Directory del dominio Al dar de alta sucesivas máquinas, se añaden al AD y al servidor, con lo que aparecen como servidores miembro En un entorno con 17 máquinas, una, la 1ª, sería DC y las restantes 16 serían servidores miembro Esto implicaría 17 BBDD de Seguridad= 1 central + 16 locales Al autenticarse en una máquina, habrá pues 2 opciones: Hacerlo en el dominio, autenticándonos en el AD En la propia máquina, en la BD de seguridad local Microsoft recomienda emplear el mismo <usuario, password> en la BD local y en el servidor, para que cuando accedamos al AD la autenticación con ese mismo usuario y contraseña sean válidos Si los equipos pasan a ser DCs, sus BBDD locales se pierden y pasan a tener la misma copia de BD de seguridad central + Vistazo a las herramientas administrativas El W2003 Server se emplean usuarios y privilegios de forma parecida a como se usan en Unix Idealmente debemos trabajar con mínimos privilegios, NO como administradores. Visión Lógica Visión Física Herramientas administrativas: AD users & computers – maneja datos de usuario, grupos y equipos AD sites & services – define sitios, equipos en los sitios, DC’s, etc. AD domains & trust – define dominios, y es necesario tener máximos permisos en todos ellos Computer Management – administrador del equipo (Mi Pc > admin) DNS – consola de DNS con las zonas de la máquina, directas e inversas Escritorios remotos MMC + Vistazo a las herramientas administrativas Run MMC MMC (Microsoft Management Console) Se encuentra en primer lugar vacío Se van añadiendo snappings con Archivo > agregar o quitar elementos Ventajas: Podemos crear herramientas específicas para administradores parciales que toquen solo por ej. DNS… Podemos delegar el control de las herramientas a determinados admins de unidades organizativas Así logramos el ideal de mantener MÍNIMOS privilegios + Instalaciones de Windows Server Típicas Arranque desde CD Disquete MS-DOS o Windows 98 (o anterior) + Drivers CD + smartdrv.exe (acelera la copia de archivos) – en a:\> formateando tenemos la opción de crearlo En Windows XP y anteriores hay un directorio, BOOTDISKS c:\> setup bootdisks.exe – crea 4 discos de arranque para comenzar la instalación En red Tenemos un servidor de distribución La carpeta i386 de instalación está completa en el servidor El cliente se conecta al host e instala Para actualizaciones es directo Si no, disco de arranque + drivers de red. Importante conocer herramientas de red de configuración TCP/IP Ficheros ejecutables WINNT.exe para instalar de 0 WINNT32.exe para actualizaciones + Instalación Desatendida de Windows Server Se puede automatizar la instalación, mediante el administrador de instalación setupmgr.exe (en Windows 2003 Server dentro de SUPPORT/TOOLS/deploy.cab) Se “crea” un proceso de instalación, con varias opciones y varios grados de desatendido Durante el proceso se crean 3 ficheros unattend.txt unattend.bat unattend.udf (unique database file) – los ficheros se crean para muchas máquinas y éste contiene la información única de la máquina + Instalación Desatendida de Windows Server ¿Cuál es el proceso en la máquina a instalar? a) Si se trata de una máquina S.O. en el lector de CD unattend.txt se renombra a winnt.sif y se introduce en disquete b) Si se trata de varias máquinas que se deben diferenciar entre sí MS-DOS (en cualquier Windows) + Drivers del CD + smartdrv.exe + todos los ficheros unattend (unattend.*) Y ejecutamos (con el CD del SO metido): unattend <nombre_máquina> + Ejemplo de instalación En esta facultad, por ejemplo, se instala primero una máquina de prueba llamada modelo Se utiliza sysprep.exe Toma la máquina y extrae una imagen de ella Elimina los identificadores que se saben únicos (p.ej. Id del SO) Tras el proceso el disco queda listo para clonar n veces Crea sysprep.inf donde se indica lo que contiene No clona ni copia nada, solo prepara el disco Por último, se emplean terceras herramientas para el clonado Symantec Ghost PowerQuest Drive Image También se puede colgar la imagen en servidor, y que los clientes instalen a través de un minisetup que es el que da los nuevos ID’s de seguridad en el cliente final + Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios Índice Windows Server 2003 DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo + DNS en sistemas Windows Sistema de Nombre de Dominio es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado al internet o a una red privada asocia información variada con nombres de dominios asignado a cada uno de los participantes su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, para poder localizar y direccionar estos equipos mundialmente + DNS en sistemas Windows Los usuarios no se suelen comunican directamente con el servidor DNS La resolución de nombres se hace de forma transparente por las aplicaciones del cliente (por ejemplo, navegadores o clientes de correo 1. Al realizar una petición que requiere una búsqueda de DNS, la petición se envía al servidor DNS local del sistema operativo 2. El sistema operativo, antes de establecer ninguna comunicación, comprueba si la respuesta se encuentra en la memoria caché 3. En el caso de que no se encuentre, la petición se enviará a uno o más servidores DNS (normalmente el proporcionado por el ISP) La dirección de estos servidores puede ser configurada: de forma manual automática mediante DHCP en otros casos, los administradores de red tienen configurados sus propios servidores DNS + Dynamic Host Configuration Protocol Protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente Datos que un cliente puede obtener por DHCP Típicamente, su dirección IP Dirección del servidor DNS y nombre DNS Puerta de enlace Dirección de Broadcast Máscara de subred MTU para la interfaz Servidores NIS, NTP, SMTP, TFTP, etc… El servidor posee una lista de IPs dinámicas y las va asignando a los clientes conforme van estando libres, sabiendo: quién ha estado en posesión de esa IP cuánto tiempo la ha tenido a quién se la ha asignado después. + DNS en sistemas Windows Ejemplo real de resolución para usuarios de Internet: + DNS en sistemas Windows El dominio se puede ver como un conjunto lógico de objetos Active Directory se relaciona con DNS Se necesita un servidor DNS para que Active Directory pueda funcionar En grandes redes: Se instala primero el servidor DNS y se configura el dominio y un administrador del mismo En pequeñas empresas: Se instala Active Directory en un equipo sin dominio especificado, y durante el proceso nos pide la instalación en paralelo del DNS Los servidores DNS y los dominios Windows usan la misma convención de nombres: FQDN (Full Qualified Domain Name), que es la nomenclatura con path y puntos Las máquinas van a tener el mismo nombre en dominio DNS y en dominio Windows + DNS en sistemas Windows Un dominio Windows es una forma de nombrar máquinas ≠ Dominio de Active Directory que es el límite lógico donde actúa Ejemplo Tipo Nombre NetBIOS Dominio nombre_dominio.es NOMBRE_DOMINIO Máquina curso1. nombre_dominio.es CURSO1. NOMBRE_DOMINIO Jerarquía DNS Root domain Nombre FQDN Por compatibilidad con Win NT Top level domain Second level domain Nombre FQDN + Internet es como un inmenso árbol de redes y dominios, pero existe una raíz, el dominio “root” con máquinas capaces de resolver nombres en el top level domain En dicho dominio existen 13 grandes servidores que suponen ser las raíces de TODO internet 10 en EEUU 1 en Suecia 1 en Londres 1 en Japón Los 13 servidores raíz son una parte del triunvirato denominado por la gente de la ICANN Root Nameserver System Los otros dos componentes son el protocolo DNS y el archivo root zone file, mantenido por Network Solutions en uno de los servidores, y que es accesible desde cualquiera de los 13 restantes En total, en las 13 máquinas hay 7 plataformas de hardware diferentes, con 8 sistemas operativos distintos, procedentes de 5 vendedores. Eso sí, todas son variantes de UNIX, ninguna emplea software de Microsoft + DNS en sistemas Windows Zona es una BD cuyo contenido son asociaciones del tipo nombre_máquina = dirección IP Esa BD es para un dominio DNS o para un dominio DNS y uno o más subdominios Ejemplos de zonas válidas . .es .fi .upm .ls .upm .ls .fi .ls pegaso .fi + Zonas de dominios DNS Windows La BD o zona se denomina muchas veces “zone file” o fichero de zona Al instalar el servidor DNS no contiene ningún fichero de zona, y debemos decir qué zonas va a mantener ese servidor DNS Hay que tener en cuenta que un servidor DNS puede tener más de una zona, y una zona puede estar en varios servidores DNS ¿De qué sirve tener más de un servidor con la misma zona? Balanceo de carga Tolerancia a fallos Se recomienda al menos 2 servidores DNS por zona + Zonas de dominios DNS Windows Cada entrada del fichero de zona se denomina registro (son las asociaciones nombre_máquina = dirección IP que hemos mencionado) Según incluyamos zonas a nuestro servidor DNS, éste cumplirá con uno u otro rol dependiendo de su configuración Roles del servidor Standard Primary – tiene una copia maestra de la zona Standard Secondary – almacena una copia de la zona Nota: una máquina puede cumplir ambos roles a la vez si de una zona tiene copia maestra y de otra una copia de la copia maestra Active Directory Integrated Primary – tiene copia maestra de la zona pero almacenada en AD (y no en fichero de texto) De esta forma podemos manejar un AD y el solo replica los datos = + potencia + Zonas de dominios DNS Windows Maestro y esclavo – está relacionado con las transferencias de zona (maestro envía información, esclavo la recibe) 1ª opción) standard primary 2ª opción) maestro standard secondary zone transfer standard secondary esclavo Los cambios se realizan en el primario y el secundario se actualiza después, y sólo sirve para resolver peticiones pero en él no se gestionan los cambios 3ª opción) maestro AD integrated primary zone transfer zone transfer standard secondary esclavo Se replican datos entre roles secundarios, del mismo nivel jerárquico y a veces son maestros y después esclavos maestro standard secondary esclavo Como en la opción 1ª pero usando AD en vez de ficheros de zona estándar + Zonas de dominios DNS Windows 4ª opción) AD integrated primary maestro/esclavo zone transfer AD integrated primary maestro/esclavo Los cambios se pueden hacer en cualquier AD y se replican solos. Por ello las transferencias van en ambos sentidos, cumplen ambos roles y la replicación corre a cargo del SO Más Potente!!! AD integrated primary DNS1 DNS2 AD integrated primary Nota: Un AD integrated primary y un standard primary NO pueden convivir + Zonas de dominios DNS Windows Más posibles roles del servidor Caching only – no almacenan ningún fichero de zona, sólo resuelven nombres y dicha resolución la guardan en caché durante un tiempo, denominado TTL (time to live) Forwarder (reenviador) – suelen estar configurados como caching only, y resuelven peticiones para clientes u otros servidores DNS del dominio El propio servidor no sabe que él es el forwarder + Ejemplo de resolución DNS Supongamos que desde la máquina “pegaso” queremos conectarnos con “equipo1.sales.msft.com” . .com a) Si la petición está cacheada se la devuelve a pegaso .es .upm .msft b1) Si el servidor ls tiene configurados forwarders .fi .sales .ls equipo1 Servidor DNS pegaso petición equipo1.sales.msft.com. b) Si no… b2) Si el servidor ls tiene configurados roothints + Ejemplo de resolución DNS b1) El servidor de ls pasa la petición al servidor que tenga configurado como forwarder, p.ej. el servidor de fi. Éste a su vez puede estar configurado con forwarders (lo pasa y no hace nada) o como roothints con lo que hará lo dicho en b2 Servidor DNS . Supongamos que éste ya es roothint .com .es .upm .msft .fi Servidor DNS .sales .ls equipo1 Servidor DNS Servidor DNS pegaso petición equipo1.sales.msft.com. + Ejemplo de resolución DNS b2) El servidor de ls solicita a uno de los 13 root servers información sobre .com y se le devuelve la dirección del servidor del dominio .com. A éste último le pregunta por .msft, y así sucesivamente. Al final la consulta contiene el nombre completo del equipo1 y su IP y se la ofrece a pegaso Servidor root DNS . .es .com 1 2 .upm .msft .sales 3 .fi 4 .ls 6 equipo1 Al final el servidor ls cachea la solución Servidor DNS 5 pegaso petición equipo1.sales.msft.com. + Ejemplo de resolución DNS Hay que recordar que puede no haber un servidor de nombres en un dominio, y estar esa información en un servidor de un dominio superior que gestiona una zona con 2 dominios Servidor que sabe de ambos .msft Dominio sin servidor .sales Zona con 2 dominios + Ejemplo de resolución DNS Por tanto debemos configurar los servidores DNS con forwarders o como root hint ¿Cuál escoger? Con forward nos olvidamos de todos los problemas Pasamos la patata caliente Se reduce la carga en la red En determinados puntos organizativos es necesario asumir la responsabilidad Conviene que nuestro dominio DNS se solape con el dominio 2003. Fuera del dominio (hacia arriba) nos da igual, no sabemos nada de dominios Windows, solo de DNS + Zonas de dominios DNS Windows Una vez vistos los posibles roles del servidor DNS atendiendo a las zonas y como funciona la resolución de nombres, vamos a ver que hay distintos tipos de zonas Primarias Secundarias De código auxiliar A su vez cada una de ellas puede ser Forward – se pasa de nombre a dirección IP Reverse – se pasa de dirección IP a nombre En la práctica las herramientas DNS varían: En zonas de búsqueda directa - msdcs.dominio.es (por ej.) dominio.es En búsqueda inversa 10.1.161.x Subnet + Servidor DNS de Microsoft Tiene aspectos diferentes al resto Posee actualizaciones dinámicas Tiene registros de servicio Dominio 2003 Las respuestas se alternan si hay varios servidores de dominio para balancear la carga (A ó B) Servidor DNS Active Directory A Active Directory B 2 El cliente pregunta al servidor DNS por el DC (A ó B). El servidor DNS tiene un registro de servicio para contestar 1 -msdcs.nombre_dominio 3 dc cliente XP -tcp lo preguntamos protocolo + Servidor DNS de Microsoft En las zonas se van incluyendo máquinas cuando en la instalación de éstas se ponga como sufijo DNS la nueva zona Si el sufijo asignado no existe, la máquina no se da de alta en ninguna Instalación del servidor DNS en Windows 2003 1. Instalar componente Windows adicional > DNS (aparece en herramientas) 2. Con el botón derecho se podrán crear zonas En zona directa En zona inversa 3. Con ese botón también se puede conectar con el servidor DNS (mediante login y password) 4. Añadido el servidor, se pueden configurar transferencias desde IPs concretas (realizando control de accesos), configuraciones, etc. + Servidor DNS de Microsoft Tipos de registros A PTR SOA: es un registro fundamental de la zona con información de la misma Indica quién es el servidor primario para hacer cambios/consultas en él En propiedades de la zona existe una pestaña donde aparece el número de serie Las zonas se pueden transferir de dos formas: Todo a la vez Particionado desde el número de serie dado Aparece la persona responsable del mismo y su correo sin @ CNAME: es un alias (renombrado) de otro registro NS … (coinciden con los vistos en la práctica de TCP/IP) + Servidor DNS de Microsoft ¿Cómo podemos poblar las zonas con registros? Dinámicamente: a través del sufijo del dominio sabemos la zona a la que pertenece Estáticamente: dando de alta host, mediante el botón derecho en la zona y usando “host nuevo” Los updates se realizan sobre el servidor primario (lo conocemos por el registro SOA) El cliente DHCP es el que hace las actualizaciones dinámicas y es válido para direcciones IP estáticas y dinámicas Windows 95 y 98 no pueden actualizarse dinámicamente Lo hacen a través del servidor DHCP y es él quien en su nombre realiza la actualización como lo haría un cliente W2000/2003/XP + Servidor DNS de Microsoft Ahora bien, solo usando Active Directory Integrated podemos realizar actualizaciones de direcciones seguras (solo ellas permiten actualizaciones con seguridad y rechazan el resto) El cliente deberá encontrar el servidor autorizado primario mediante el registro SOA Luego tratará de hacer de forma no segura la actualización Se le rechaza Por último se le fuerza a que la haga de forma segura Una vez se ha configurado la actualización solo con seguridad existe una pestaña llamada “seguridad” donde se pueden gestionar permisos y accesos de la zona Cuando el cliente quiere actualizar su servidor DNS, normalmente deberá borrar su caché con resoluciones desfasadas, con ipconfig /flushdns + Servidor DNS de Microsoft Otras configuraciones, características o elementos controlables de los registros TTL: tiempo en caché de permanencia, aparece en el registro SOA, dentro de las propiedades de la zona Se indica el TTL mínimo TTL en dd:mm:ss… etc También aparece en las propiedades de un registro concreto Mediante el shell, con ipconfig /displaydns muestra la caché del sistema con los TTLs Aging: asistente para el proceso con el que determinar si un registro está obsoleto, lo que requerirá borrar un registro de la zona (no de la caché) Totalmente necesario en actualizaciones dinámicas (los sufijos se pueden cambiar!!!) + Servidor DNS de Microsoft Scavening: asistente para el proceso de borrado propiamente dicho de los registros obsoletos de la zona, tras los periodos no-refresh y refresh Aging & Scavening son procesos que se consideran propiedades de la zona con 2 parámetros No refresh interval: tiempo en el que el servidor DNS no admite refrescar el registro porque lo mantenemos desde hace poco tiempo (por defecto son 7 días) Refresh interval: tras el periodo anterior hay un periodo de refresco válido que pasa a considerarse obsoleto (por defecto esos 7 días) y se realiza el borrado Tenemos la opción de establecer la caducidad/borrado de una zona entera (a parte de registro a registro) mediante las propiedades de la máquina servidora o incluso de todas las zonas completas + Herramientas críticas en Windows Server 2003 NSLOOKUP: muestra información del servidor y permite solucionar problemas, indicando las direcciones, nombres…(para más información revisar práctica TCP/IP) dnscmd: permite listar zonas, gestionarlas, etc. Para más información teclear dnscmd /? dnslint: realiza un chequeo de nuestro servidor . Para más información teclear dnslint/? En el propio servidor DNS, botón dcho > propiedades Label de supervisión Una única consulta Consulta recursiva: prueba roothints Label sucesos: permite registrar sucesos en el visor de sucesos (por tipos, fecha, etc.) Depurar registro: guarda paquetes indicados en la ruta de archivo que escribamos para su depuración y estudio + Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Índice Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo Windows Server 2003 + Active Directory Es una BD a nivel de dominio Se basa en la misma convención de nombres que DNS Con él podemos tener millones de objetos en el dominio (con Windows NT cabían unos 40.000 objetos como máximo) Se centraliza todo, aunque se puede delegar la administración de partes de él Un dominio es la unidad de replicación del AD – hay una única BD de seguridad central que se replica Permite organizar, gestionar y buscar objetos dentro de unidades organizativas + Active Directory Sincronización vs Replicación Windows NT Windows Server 2003 y similar PDC Manda últimos cambios a la Base de datos de seguridad central Los cambios en un controlador de dominio se replican al resto dentro del dominio + Active Directory Con la granularidad que queramos! Mantiene ordenado el AD inmanejable Evita la estructura plana de objetos Unidad organizativa Es un objeto contenedor Hay una jerarquía Permite delegar control sobre unidades organizativas (los objetos que contiene) Nunca se delega control sobre objetos AD lo ve como un objeto más Sirven para poder emplear directivas de grupo que se emplean a nivel de unidad organizativa Permiten modelizar y “separar” la empresa + Active Directory Ejemplo de unidades organizativas Dominio empresarial Administración Ventas Taller + Active Directory Se pueden crear de muchas formas siguiendo múltiples procesos guiados El más simple es en herramientas de usuarios y equipos de AD > botón derecho y nuevo Mediante este proceso se pueden crear Unidades organizativas Cuentas Equipos Objetos Posteriormente aparecen las propiedades de los objetos y las configuraremos según el caso Tipos de nombres de los objetos según su unidad organizativa LDAP relative distinguished name: nombre único dentro de la unidad organizativa (solamente) LDAP distinguished name Únicos en el árbol Canonical names + Active Directory AD admite que las máquinas se distribuyan en uno o varios dominios según varias topologías Árbol En este caso hay 3 BD de seguridad central Sirven para temas de nombrado Sirven para administración descentralizada, con dominios distintos para por ejemplo varios idiomas Los usuarios de dominios inferiores pueden acceder a recursos del de arriba y viceversa Se establecen relaciones de confianza Bilaterales: en ambas direcciones Transitivas: confianza de todos los dominios con todos Además se pueden añadir permisos concretos para limitar acceso desde otros dominios a usuarios concretos + Active Directory Bosque Surge por necesidades particulares de nombrado No se suele dar, sólo en casos excepcionales, por ej. se unifican los árboles de 2 empresas que se fusionan También hay relaciones de confianza bidireccionales y transitivas La herramienta a usar para gestionar las relaciones de confianza en AD se denomina “Dominios y confianzas de AD” (en herramientas) + Active Directory Entre dominios (sea la topología que sea, árbol o bosque) hay cosas comunes Catálogo global ≈ páginas amarillas de red empresarial Contiene todos los objetos del árbol o bosque y sus atributos principales Permite búsquedas Nos da la pertenencia a grupos universales Se crea en el servidor de catálogo global = 1ª máquina del 1er dominio (y luego se replica) Esquema: contiene la definición de todos los objetos que puedo dar de alta en AD Información de configuración: sobre dominios, nombres, etc. y se comparte entre dominios Active Directory Única parte del AD que se replica a todos los DC de todos los dominios + Active Directory El esquema define por tanto las clases de objetos que podemos dar de alta Se tiene una lista inmensa de atributos y cada objeto usa un subconjunto de esos atributos El esquema es actualizable Se pueden crear nuevos objetos Se pueden modificar (añadir) atributos a una clase de objetos Existe una API específica para cambiar el esquema + Índice Windows Server 2003 Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo + Sitios Hasta ahora veíamos el punto de vista lógico ofrecido por Microsoft El punto de vista físico tiene que ver con situaciones, ¿Cuántos DC distribuciones y ubicaciones físicamente reales usamos? ¿y DNS? Sitio – subconjunto de máquinas que se comunican entre sí de forma Rápida Ejemplo: Dominio Fiable replicaciones óptimas Windows 2003 Barata Madrid Barcelona + Sitios ¿Cuántos controladores de dominio podemos usar? Uno – poco útil, imaginaos uno en Barcelona y autenticarnos en Madrid, con el tráfico lento Dos – mejor, así replicamos información en cada sitio ¿Lo mejor de todo? 4 es la solución óptima, dos por sitio y prevenimos caídas, balanceamos carga, etc. ¿Y cuántos servidores DNS? Otros 4, si la máquina es DC es mejor que sea también DNS y que así éste se almacene en AD de forma óptima ¿Y catálogos? Nos valdría con 2, uno por sitio Norma general: no debemos considerar que se puede acceder siempre a un recurso de otro sitio, puesto que la conexión es cara. Conviene por tanto replicar los recursos en ambos sitios + Sitios Posible solución sin obligar que AD almacene DNS Dominio Windows 2003 DC DC DC Madrid Barcelona DC-DNS DNS DNS DNS + Sitios Por todo lo visto anteriormente, se considera que todo lo que queramos hacer se puede implementar con un único dominio Windows 2003 sin tener que recurrir a árboles de dominio (y menos aún a bosques) ¿Qué hay de las unidades organizativas y los sitios? Una unidad organizativa puede estar en varios sitios (con recursos mezclados de ellos) o en uno solo, depende del administrador Como administradores decidimos cuándo y cómo se hacen las replicaciones entre sitios Atención! Si el cliente de un sitio pregunta por un DC al servidor DNS, éste puede informarle de uno de su sitio o de otro sitio (con los problemas de comunicación que acarrea) La pregunta al servidor DNS debe ser dame un DC de MI sitio, o un catálogo de MI sitio + Índice Windows Server 2003 Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo + Gestión de Dominios W2003 Ya se han explicado los fundamentos para crear un servidor DNS inicial, convertirlo en DC y inicializar AD Pero, ¿cómo un servidor miembro (ó un BDC en dominios NT) puede pasar a ser DC (o PDC en dominios NT)? Esta promoción se realiza ejecutando dcpromo Existe un tutorial sobre los requisitos, pasos y flujos de instalación Al instalar un controlador adicional de dominio se necesita la replicación de la BD de seguridad central, que se puede llevar a cabo de dos formas a) Mediante flujo directo de la información entre máquinas Tiene problemas entre distintos sitios por su interconexión lenta b) Mediante backup, con utilidades de terceros fabricantes: dcpromo /adv + Gestión de Dominios W2003 Una vez realizada la promoción de una máquina se debe comprobar que ya es DC del dominio, verificando: Han aparecido las herramientas administrativas propias de DC En las zonas de búsqueda directa (-msdcs.nombre_dominio > dc > -tcp) aparece la máquina Dentro del directorio de windows (C:\Windows>) aparecen los siguientes elementos: NTDS SysVol SysVol dentro de SysVol Ahora los usuarios de la máquina solo se pueden loguear en el dominio, no en la propia máquina Esto se debe a que la BD es ahora única, copia de la del servidor inicial, la del dominio La BD de seguridad local no se pierde, simplemente no se puede utilizar + Domain Functional Levels La funcionalidad de los dominios introducida en el AD de Windows Server 2003 proporciona un método para habilitar funciones de AD para todo un dominio de red Existen distintos niveles de funcionalidad de dominios (Domain Functional Levels) según los entornos operativos de los DC del dominio En concreto existen cuatro niveles funcionales de dominio 1. Windows 2000 mixto (por defecto) WinNT, W2000, W2003 2. Windows 2000 nativo Funcionalidad reducida Sólo W2000 y W2003 3. Windows Server 2003 versión preliminar Migración de WinNT a W2003 (Sin W2000) 4. Windows Server 2003 Funcionalidad Todos los DC tienen WS 2003 completa + Domain Functional Levels Dependiendo del nivel funcional aparecerán unas funcionalidades u otras Función de bosque Windows 2000 Windows Server 2003 Mejoras de replicación del catálogo global Habilitado si los dos asociados de replicación ejecutan Windows Server 2003. De lo contrario, deshabilitado. Habilitado Deshabilitado Habilitado Deshabilitado Habilitado Replicación vinculada a valores Deshabilitado Habilitado Cambiar el nombre de los dominios Deshabilitado Habilitado Deshabilitado Habilitado Deshabilitado Habilitado Deshabilitado Habilitado Invalidación de objetos de esquema Confianzas de bosque Algoritmos de replicación de Active Directory mejorados Clases auxiliares dinámicas. Cambio InetOrgPerson objectClass + Domain Functional Levels Es posible cambiar de nivel, elevando la funcionalidad Dentro de las herramientas de usuarios y equipos de AD, sobre el dominio > botón derecho y elevar el dominio Nota: posteriormente no podremos bajar el nivel funcional • Si tenemos DCs con W2000 y W2003 y elevamos nivel a W2003 family, los DC con W2000 dejan de funcionar + Gestión de Dominios W2003 Cuando Microsoft creó los dominios 2003 vio que la idea de permitir tocar cualquier cosa en cualquier DC y permitir la replicación automática fallaba a veces Recordad el problema mencionado, un usuario es borrado en un DC, pero puede llegar a autenticarse en otro DC y realizar usos fraudulentos antes de que la replicación de BBDD concluya… ¿cómo lo solucionamos? Se soluciona mediante las operaciones de maestro único – FSMO (Flexible Single Master Operator) Se trata de 5 operaciones que se deben hacer en un servidor específico 1. Maestro del esquema – es el DC en el que se puede Únicos en tocar el esquema, y sólo en él todo el 2. Maestro de nombres de dominio – es el único DC que bosque sabe que nombres de dominio se han creado + Gestión de Dominios W2003 3. Emulador de PDC Es el 1º en recibir cambios de password de usuarios El cliente pregunta al servidor DNS por un DC y se intenta autenticar Si falla, preguntamos al DNS por el emulador PDC y en él se intenta la autenticación y nos da la última respuesta Cuando un usuario es borrado en un DC se prescinde de la replicación instantánea y se realiza a mano 4. Maestro de identificadores Cuando se crea un nuevo objeto le damos un id de seguridad En W2003 debe ser único para todo el bosque Entre dominios son distintos gracias al id de seguridad del propio dominio, que es único SID = id seg. dominio + id relativo + Gestión de Dominios W2003 El maestro de id. que opera a nivel de dominio y asigna rangos de ids relativos para cada DC Al crear objetos en ese DC éste le asigna la 1ª id. relativa libre Si el rango se agota se le da otro rango al DC Ejemplo: SID 25 1 DC1 maestro de ids DC2 Id del dominio Id 25 rango 100 - 150 Id 37 + Gestión de Dominios W2003 5. Maestro de infraestructura Existe uno sólo por dominio Actualiza la información de pertenencia a grupos cuando cambian los miembros del mismo Todos estos roles correspondientes a las FSMO los asume la primera máquina controladora que se instala en el dominio Estos roles se pueden posteriormente delegar a otra máquina o que otra máquina asuma el control + Índice Windows Server 2003 Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo + Grupos Los grupos son colecciones de usuarios o de otros grupos Los privilegios de usuario en Windows 2003 se gestionan mediante Permisos (permisses) – quién puede utilizar o acceder a un recurso Derechos (rights) – cosas que podemos hacer con las directivas de grupo (p.ej. alguien tiene derecho a acceder a un recurso) Para no tener que ir usuario por usuario asignando permisos y derechos, se asocian en grupos a los que se les conceden a la vez Los grupos permiten por tanto: Simplificar la administración con la asignación de permisos de un recurso compartido a un grupo y no a usuarios individuales Delegar la administración con una única asignación de derechos de usuario a un grupo Crear listas de distribución de correo electrónico + Grupos Los grupos pueden por tanto surgir Por razones de seguridad Por cuestiones de distribución Nos centraremos en ellos Se emplean con aplicaciones de e-mail Vamos a estudiar 3 tipos de grupos según su ámbito 1. Grupos Globales (G.G.) 2. Grupos Universales (U.G.) 3. Grupos Locales de Dominio (D.L.G.) + Grupos Grupo Puede incluir como miembros… Cuentas de cualquier dominio GG de cualquier dominio GU de cualquier dominio DLG GG UG * * DLG pero sólo del mismo * dominio Las cuentas del mismo dominio GG del mismo dominio Las cuentas de cualquier dominio del bosque Se pueden asignar permisos a… Se puede convertir a… Recursos del mismo dominio UG (siempre que no exista otro DLG como miembro) Recursos de todo el bosque UG (siempre que no sea miembro de otro GG) * GG de cualquier dominio del bosque UG de cualquier dominio del bosque * No funcionan en modo mixto DLG Recursos de todo el bosque GG (siempre que no exista otro UG como miembro) + Grupos Uso común de los grupos de Windows 2003 Usuarios Grupos GG1 Recursos DLG1 GG2 DLG1 al recurso le asignamos permisos para DLG Esto se denomina política UGLY - U G L Y s Goo e cu r ar l resources También llamada AGDLP + Grupos Ejemplo práctico Carpeta que queremos compartir con los 7 usuarios propiedades seguridad Luis Ana María … de varios dominios La solución no es correcta Si no fueran 7 sino 700, el trabajo sería inmenso En el dominio se debería estar al tanto de lo que ocurre con usuarios de otros dominios! + Grupos Solución propiedades GG1 seguridad DLG1 DLG1 GG1 GG1 Ventajas Pocos datos que gestionar – simplificación de pestañas Es muy flexible: si se añaden o borran usuarios en algún GG se encarga cada dominio, nosotros en el recurso no hacemos nada Es una solución válida para el nivel de modo mixto y nativo + Grupos Existe otra política parecida a la expuesta y con similar filosofía, que consiste en meter los GGs en un UG en vez de en un DLG UG1 = GG1 + GG2+ … En la seguridad de recursos, gestionaremos permisos de UG1 Este grupo, creado en un dominio, se puede usar para asignar permisos a recursos de otros dominios Con DLG sólo se podía asignar permisos dentro del dominio donde se creó el grupo + Catálogo Global El catálogo global, que hasta ahora habíamos visto que servía para búsquedas, también sirve para almacenar y conocer al iniciar sesión la pertenencia a grupos universales (UG) En el login implica una búsqueda (otra más!) por lo que cuantos menos UG tengamos mejor, para poder optimizar los inicios de sesión Se accede a DC, DNS, Catálogo, Emulador de PDC, … Si se cae el Catálogo Global, ¿se puede acceder? Los administradores sí, siempre Los usuarios sí si tienen una copia en su caché de la pertenencia a UGs + Grupos La creación de grupos se realiza de forma sencilla desde la herramienta de gestión de usuarios de AD Dicha herramienta permite también realizar cambios de ámbito válidos en los grupos de manera sencilla De GG a UG si el global no contiene otro GG De DLG a UG si el local no contiene otro DLG De UG a GG si el universal no contiene otro UG De UG a DLG siempre Y para pasar de GG a DLG? 1. Pasar de GG a UG, resolviendo posibles problemas 2. De UG ya sin problemas a DLG + Grupos Dependiendo de quién ha creado los grupos, éstos pueden ser de 2 tipos Grupos hechos por nosotros ad-hoc Grupos creados por el sistema por defecto Grupo Operadores de cuentas Administradores Operadores de copia de seguridad Descripción Derechos de usuario predeterminados Pueden crear, modificar y eliminar cuentas de Permitir el inicio de usuarios, grupos y equipos, sesión local iniciar la sesión de forma Apagar el sistema local en los DC y apagarlos Controlan por completo Prácticamente ilimitados todos los DC Hacer copia de Pueden realizar copias de seguridad de archivos y seguridad y restaurar todos directorios los archivos en los DC, Permitir el inicio de iniciar la sesión en los DC y sesión local apagarlos. Restaurar archivos Apagar el sistema + Grupos Derechos de usuario predeterminados Grupo Descripción Invitados De forma predeterminada, el grupo Invitados del dominio es un miembro de este grupo No hay derechos de usuario predeterminados. Creadores de confianza de bosque de entrada Pueden crear confianzas de bosque de entrada unidireccionales en el dominio raíz del bosque No hay derechos de usuario predeterminados. Operadores de configuración de red Pueden modificar la configuración TCP/IP, así como No hay derechos de usuario renovar y liberar las direcciones predeterminados. TCP/IP en los DC Usuarios del Monitor de sistema Pueden supervisar los contadores de rendimiento en los controladores del dominio No hay derechos de usuario predeterminados. Usuarios del registro de rendimiento Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores del dominio No hay derechos de usuario predeterminados. + Grupos Grupo Descripción Acceso compatible con versiones anteriores a Windows 2000 Tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en los equipos con Windows NT 4.0 y anteriores Operadores de impresión Pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los DC Derechos de usuario predeterminados Tener acceso a este equipo desde la red Saltarse la comprobación de recorrido Permitir el inicio de sesión local Apagar el sistema Usuarios de escritorio remoto Pueden iniciar la sesión en los DC de forma remota No hay derechos de usuario predeterminados. Replicador Este grupo admite funciones de replicación de directorio y el Servicio de replicación de archivos lo utiliza en los DC. No hay derechos de usuario predeterminados. + Grupos Grupo Operadores de servidores Usuarios Descripción En los DC pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de seguridad y restaurar archivos, formatear el disco duro y apagar el equipo. Los miembros de este grupo pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, así como bloquear el servidor Derechos de usuario predeterminados Hacer copia de seguridad de archivos y directorios Forzar el apagado desde un sistema remoto Permitir el inicio de sesión local Restaurar archivos y directorios Apagar el sistema + Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Directory Índice Sitios Windows Server 2003 Gestión de Dominios W2003 Grupos Permisos acceso de control de Directivas de grupo + Permisos de Control de Acceso Los permisos de control de acceso de AD indican qué usuarios y grupos pueden “acceder” a objetos del AD dentro de una unidad organizativa Se implementan y manejan en el AD y se “quedan” dentro del AD Hay que ser muy cauteloso con lo que significan los permisos Ejemplos Tener permiso para crear un objeto impresora en el AD ≠ tener permiso para imprimir (se habilitará en el recurso que nada tiene que ver con el AD) Poder crear un objeto carpeta compartida ≠ tener permiso para acceder al directorio compartido realmente En este caso se debe tener permiso de acceso y además en ntfs debemos tener un permiso adicional (es un caso particular con doble filtro) De hecho el directorio supuestamente compartido al que se apunta puede no existir realmente (es nuestra responsabilidad) Al crear un recurso compartido lo debemos dar de alta nosotros en AD. Con equipos, impresoras... al instalarse se dan de alta sol@s + Permisos de Control de Acceso Los permisos de control de acceso nos permiten jerarquizar. ¿Por qué es buena la jerarquización? Permiten delegar control Organizar recursos Gestionar directorio La delegación de control consiste en que le permito al usuario X realizar ciertas acciones dentro de una unidad organizativa en AD Control total Permisos estándar write Cambiar atributos de objetos que ya existen read Ver objetos, sus atributos y su propietario (creador) y ver permisos del AD Crear objeto hijo Borrar objeto hijo Se pueden crear nuevos objetos Se borrar objetos existentes + Permisos de Control de Acceso Para gestionar los permisos se puede Permitir Denegar Prevalece sobre el permiso siempre Ejemplos Pepe Luis GG1 Active Directory Lectura GG1 Pepe no lee OU1 Pepe denegar leer No lectura GG1 OU2 Pepe no lee Pepe permitir leer Los permisos estándar se pueden convertir en permisos especiales ad-hoc (muy pocas veces es necesario) + Permisos de Control de Acceso Existe herencia de permisos Los permisos de las OUs los heredan las unidades organizativas hijas de la anterior Por defecto, las casillas “clickeadas” en gris son heredadas Se puede bloquear la herencia en casos especiales Se puede añadir a lo heredado lo que queramos, recordando que heredado o no, la denegación prevalece Si movemos un objeto de una OU a otra los permisos establecidos a mano permanecen Se pierde la herencia de la OU padre anterior Se gana la herencia de la OU nueva + Permisos de Control de Acceso Para modificar los permisos basta con emplear la opción ver > características avanzadas Ahora, con botón derecho > propiedades > seguridad Seleccionamos usuarios Tratamos la lista de permisos/denegaciones Hay opciones avanzadas donde aparecen los permisos especiales En dichas opciones podemos habilitar/bloquear la herencia. Se pueden modificar las herencias de 2 formas Copiando las herencias como si estuviesen puestas a mano para editarlas (p. ej. si solo sobran 1 o 2) Borrar todos los permisos heredados Además en la solapa de permisos efectivos podemos comprobar los permisos de un usuario dado (a modo de chequeo) + Delegación de Control La delegación de control consiste como hemos dicho en dar a un usuario permisos para realizar acciones en una unidad organizativa Se trata de una política que permite que las tareas más rutinarias las pueda hacer cualquiera, relajando al administrador Además es importante acercar la administración del sistema al usuario y que lo vean como algo cercano y factible Es importante una buena política de delegación A quién delegamos En qué unidad organizativa Tareas permitidas Para delegar control Lo podemos hacer a mano sobre las propiedades de cada objeto tocando sus permisos Existe un wizard denominado delegar control pinchando sobre la unidad organizativa deseada Basta con seguir los pasos y establecer sobre quién se delega ÓPTIMO + Delegación de Control También es posible delegar control gestionando quién es el administrador de un determinado grupo Es como delegar en una persona el propio grupo y su gestión Si se define mediante la casilla correspondiente, puede actualizar la lista de subscriptores del grupo Para establecerlo, basta con escribir el administrador en las propiedades del grupo Por defecto, en un servidor Windows Server 2003 sólo pueden iniciar sesión interactiva los administradores, y los demás usuarios no tienen ese derecho Para cambiarlo, en herramientas > directivas de seguridad de DC > configuración de seguridad > directivas locales > asignación de derechos de usuarios podemos permitir el login a la lista de usuarios que necesitemos El servidor crea un único usuario “virtual” denominado IUSR_nombremáquina para todos los clientes web (IIS) de la máquina + Índice Windows Server 2003 Introducción Redes de Windows Server Configuración, licencias, tipos de instalación Dominios DNS Active Directory Sitios Gestión de Dominios W2003 Grupos Permisos de control de acceso Directivas de grupo + Directivas de Grupo Permiten limitar acciones que los usuarios de un determinado grupo pueden hacer en las sesiones (por ejemplo que en el menú inicio no se pueda Ejecutar) Problema – no sirven para equipos con Windows 9X, solo para Windows 2000 y XP Las directivas tienen dos partes Parte aplicada a los usuarios Parte que se aplica a sus máquinas Se emplea la herramienta GPMC (Group Policy Management Console) Al instalarla se eliminan directivas anteriores Además se desactivan las formas alternativas de manejo de las mismas AD users & computers AD sites & services Se solucionan muchos problemas, se aclara todo, es una gran ventaja + Directivas de Grupo Las directivas de grupo se pueden aplicar a nivel de Sitio Dominio Unidad organizativa GPO Creación de directivas de grupo Las creamos y metemos en un “saco” de directivas del dominio Al crear una directiva se crea un GPO (group policy object) Después desde el sitio, dominio o OU creamos un enlace a ella Las directivas se crean vacías, tras enlazarla hay que configurar la GPO y darle contenido Directivas de dominio Las directivas se administran desde las herramientas de gestión del dominio Ahí está el “saco” de GPOs, y con botón derecho > nuevo se crean GPO + Directivas de Grupo Enlazar la GPO consiste en aplicar al nivel deseado una directiva previamente creada Esa GPO se usará a partir de entonces en el sitio, dominio o OU Ejemplo GPOs OU1 GPO1 Forzar fondo pantalla OU2 La GPO se aplica a OU2 y a todas las OU por debajo si son usuarios se aplica solo la parte de usuarios a los equipos la parte de equipos + Directivas de Grupo ¿Y si surge un conflicto entre GPOs enlazadas directamente y heredadas? GPOs OU1 OU2 GPO1 GPO2 User1 = GPO2 + GPO1 En caso de conflicto nos quedamos con la GPO más cercana al objeto, en este caso GPO1 En la herramienta de administración de directivas de grupo se nos permite crear y enlazar (a la vez) una GPO o sólo vincular una existente Las GPOs ya enlazadas aparecen en el menú de vinculadas Se pueden desvincular sin eliminar (para quitarla solo temporalmente) También se pueden eliminar definitivamente del saco de GPOs Por último es posible ver su configuración, como por ejemplo Detalles Delegación Estado – se puede habilitar/deshabilitar directivas o solo la parte de usuario o máquina + Directivas de Grupo Se puede modificar la herencia de GPOs para evitar conflictos Block Policy Inheritance – se elimina la herencia a partir del punto que queramos No override – obligamos a que la directiva de grupo se cumpla en los “hijos” aunque se intente bloquear la herencia desde ellos Normalmente las directivas que vienen de “arriba” son más prioritarias, y sus administradores tienen más poder De esta forma se evita que los administradores de OU inferiores puedan evitar el uso de GPOs importantes El bloqueo de herencia se hace a nivel de OU mientras que el forzado se hace a nivel de GPO Truco: Las GPOs se pueden usar para instalar SW la próxima vez que se realice un login, o para configurar escritorios + Directivas de Grupo Ejemplo OU1 GPO Antivirus GPO Office forzada Si queremos que a unos usuarios se les apliquen unas GPO y a otros otras dentro de la misma OU hace falta hacer filtrado de GPOs, mediante excepciones Ejemplo OU2 OU2 GPO Accounting SW User1 User2 Admin1 Group1 User1 User2 ALLOW Read Apply GP Admin1 Group1 DENY Apply GP Si User1 pertenece a Grupo1 se le deniega (es más fuerte), a menos que filtremos + Directivas de Grupo El filtrado se hace a nivel de enlace de la GPO, usando la herramienta GPMC Se usa la pestaña de filtrado de seguridad y ahí están los usuarios a quien se les aplica Si pinchamos en delegación >avanzado> seguridad veremos los permisos Para que a unos usuarios de la OU se les aplique la directiva y a otros no, deben tener permisos de LECTURA + Aplicar GP Las directivas de grupo pueden configurarse de distintos modos Habilitada Deshabilitada ≈ No configurada Existen configuraciones más complejas y con más información (por ejemplo configuración proxy) Al editar una GPO aparecerán las plantillas administrativas de configuración Internamente modifican el registro de Windows que los afecta, permitiendo quitar por ejemplo un elemento del menú inicio + Parte 1. Windows Server 2003 Instalación, Administración y Configuración Administración Windows Server 2003 + Parte 2. Mantenimiento del Entorno Windows Server 2003 Administración Windows Server 2003 + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Índice Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Introducción De cara a gestionar y mantener el entorno Windows Server 2003, caben mencionar los siguientes subsistemas Memoria Red Procesador Disco Duro El administrador debe encargarse de Aplicaciones Configuración Escritorio Remoto Mantenimiento de conexiones de escritorio remoto Recursos Actualizaciones de cada recurso y del sistema Accesibilidad Seguridad + Introducción Herramientas de administración MMC Local Remoto No puede dar toda la funcionalidad Run as – para cuando un usuario sin privilegios quiere realizar una acción de administrador Escritorio remoto – aumentan las funcionalidades de gestión, pero también aumenta la carga en la red (el escritorio viaja por ella) Para administrar 1 servidor – remote desktop connection Para múltiples servidores- remote desktop + Introducción Grupos usados para la administración (todos realizan tareas administrativas restringidas a un tipo) Administradores – control total Operadores de Backup Operadores de Cuentas Operadores de Servidores – control de copias de seguridad y operaciones de compartición de discos Operadores de Impresión Se debe asignar al usuario el menor control válido para realizar su tarea + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Índice Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Mandato Ejecutar como Es similar al comando sudo en Linux Un usuario con su cuenta puede invocarlo desde distintas partes del sistema para realizar tareas administrativas Desde el menú Inicio, botón derecho > ejecutar como Desde el explorer, botón derecho > ejecutar como Línea de comandos: No hace falta si es el mismo dominio C:\> runas /user:nombre_dominio\Administrador <mandato> Ejemplo de mandato: Sin argumentos da ayuda Usuario deseado (también para otras cuentas) “mmc %WINDIR%\system32\diskmgmt.msc” Variable de entorno con directorio Windows Complemento para admin. discos + Mandato Ejecutar como Listado de complementos (mandatos) frecuentes a invocar C:\> runas /user:nombre_dominio\Administrador “mmc %WINDIR%\system32\x” Para administración de equipos, x = compmgmt.msc Administración de rendimiento, x = perfmon.msc Administración de dispositivos, x = devmgmt.msc Gestor de disco, x = diskmgmt.msc Gestión de AD, x = dsa.msc Para extraer la MMC, poner solo mmc como argumento Para sacar un prompt con otra cuenta, poner solo cmd como argumento Podemos crear un acceso directo con estos comandos, escribiendo en la ubicación del acceso directo el mandato completo + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Índice Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Administrador de Equipos La herramienta Administrador de Equipo (Mi Pc > Administrar ó equipos remotos) cuenta con importantes subherramientas a) Herramientas de Sistema 1) Visor de sucesos o eventos Servicio de Directorio Servicio de DNS Servicio de Replicación de Archivos Aplicación – aplicaciones de usuario y sus eventos Seguridad - ¿ha habido sucesos maliciosos? Sistema – eventos de servicios del sistema, componentes del núcleo, etc. 2) Carpetas compartidas Recursos compartidos Ver anexo Sesiones Archivos abiertos * + Administrador de Equipos Registros y alertas 4) Administración de Dispositivos b) Herramienta de Almacenamiento c) Servicios y aplicaciones – podemos pararlos/reanudarlos, habilitarlos para uso manual/automático, etc. 3) También podemos con esta herramienta administrar otros equipos con la opción conectar a otro equipo En la consola MMC se pueden agregar o quitar herramientas, e incluso servidores o máquinas remotas + Universal Naming Convention, es la forma de nombrar los recursos en Windows - \\equipo\recurso Por defecto C:\> viene compartido de forma oculta, por cuestiones de seguridad Con \\equipo se nos muestran los recursos compartidos visibles, no ocultos. A los ocultos solo podemos acceder si sabemos el nombre exacto (por ejemplo, para C: suele ser \\equipo\C$) Nombrado para compartir de forma oculta ¿Cómo evitar que al inicio se comparta algo que se comparte por defecto? Modificando el registro para cambiar lo que ocurre por defecto regedit (ó regedt32) “HKEY_LOCAL_MACHINE\SYSTEM\Current Control Set\Services\Lanmanserver\Parameters\” y aquí crear una nueva clave AutoShare WKS - tipo DWORD, valor 0 Ahora si reseteamos y hemos quitado de compartidos C$ por ejemplo, dejaría de compartirse por defecto + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Índice Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Escritorio Remoto Debe habilitarse en el servidor, y accederemos a él a través de otro equipo en la red gracias al protocolo RDP que transporta todo el escritorio por la red (está optimizado para transferir imágenes y ficheros grandes) ¿Por qué usarlo? Permite hacer todo lo visto hasta ahora Y más, también permite actualizar el equipo y el SO, desfragmentar disco, ver procesos en ejecución y controlar prácticamente cualquier cosa Hay un Desventaja: muy ineficiente máximo de 2 Debe permitir usarlo en el servidor un administrador Mi Pc > propiedades > acceso remoto > permitir conexiones a un equipo Para conectarnos Inicio > Accesorios > Comunicaciones > Escritorio remoto si queremos varias conexiones abriremos varias ventanas o emplearemos remote desktops (se abre 1 pantalla MMC por cada servidor simultáneo) Otras formas de configurarlo Con MMC > añadir escritorios remotos (quitaremos el tick en conectar a consola si no queremos echar al propio usuario al conectarnos nosotros) Desde línea de mandatos mstsc /? mstsc /v:equipo[:puerto] + Escritorio Remoto Al acabar podemos desconectar ó cerrar sesión Desconectar La sesión sigue activa y desconectada Se siguen consumiendo recursos El límite de 2 conexiones máximas la contabiliza Al iniciar sesión seguimos con el trabajo anterior Cerrar Libera la conexión definitivamente – cuidado con ficheros no guardados Se puede establecer un máximo de tiempo a una sesión activa, o a una desconectada, o un máximo de tiempo ocioso y luego forzar desconexión o cerrado Todo esto se hace configurando servicios de Terminal Server Terminal Server es una aplicación más completa que gestiona un servidor de aplicaciones y además permite realizar administració remota Herramientas Administrativas > Administrador de Servicios de Terminal Server + Escritorio Remoto Con el TS podemos realizar un control remoto de la sesión de un usuario Útil para enseñarles cosas Herramientas de administración > configuración de servicios de Terminal Server > conexiones > control remoto -> permitir Para conectar se usa Admin. de Servicios de TS > en la máquina botón derecho -> control remoto Para que funcione se debe conectar con escritorio remoto en 2 sentidos Del manejador al manejado Del manejado al manejador Con Terminal Server podemos monitorizar sesiones abiertas en nuestro servidor, desconectarlas, mandar mensajes, etc. + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización Índice Parte 2 – Admin WS2003 de Rendimiento Administración de Dispositivos Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Monitorizar un Servidor Es importante llevar a cabo tareas de monitorización Que un solo equipo falle o esté obsoleto puede provocar un fallo global El administrador establecerá una Línea Base Es un conjunto de condiciones mínimas para que el sistema funcione bien Esta línea de referencia considerará situaciones y cargas de trabajo habituales y describirá el sistema en una situación que se considera aceptable Desde ese momento el administrador se encarga de analizar desviaciones del sistema respecto de la línea base Se medirá el rendimiento del sistema en base a 4 subsistemas Memoria Disco Medidos en picos de trabajo, zona normal y baja carga CPU Red + Monitorizar un Servidor La herramienta estándar a usar es la herramienta de rendimiento (dentro de herramientas administrativas) Permite añadir contadores Realizar monitorización remota Por comodidad o para llevar a cabo múltiples monitorizaciones Para no sobrecargar con la monitorización el propio sistema estudiado (aunque está todo preparado para que el impacto sea mínimo) Iniciar/detener el log del sistema que permitan descubrir cuellos de botella Añadir nuevas mediciones Usaremos dos tipos de monitorizaciones En tiempo real Herramienta rendimiento/monitorización de sistemas En logs, registrando en archivos lo que ocurra en el sistema Herramienta rendimiento/registros y alertas Se usan distintos formatos, suele ser binario (.blg) que se puede transformar en ASCII mediante la herramienta tracerpt (los binarios los emplea la herramienta) Se suele guardar de forma cíclica en ficheros de tamaño máximo (cuando se consume se vuelve al principio) + Monitorizar un Servidor Existe un mandato para línea de comandos, logman (/? para obtener ayuda) que equivale a la interfaz gráfica y permite las gestiones anteriores Diariamente Ejemplo Crear contador Inicio Fin Para adjuntar versión C:\> logman create counter daily_perf_log –b 11/25/2009 15:30:00 –e 11/30/2009 16:00:00 –r –v mmddhhmm –c “\Processor(_Total)\%ProcessorTime” “\Memory\Available_Bytes” –si 00:15-0 “C:\Perflogs\daily_log” Intervalos de muestreo Formatos de salida .csv, fichero separado por comas, exportable a excel .tsv, fichero separado por tabulaciones .blg, binario que se puede abrir con la herramienta o pasar a ASCII tracerpt logfile.blg –o logfile.csv + Alertas Cuando un determinado contador de monitorización supera o esté por debajo de un umbral podemos establecer una alerta que puede… umbral Registrar un evento en el visor de eventos Mandar un correo electrónico al administrador Establecer a su vez nuevos contadores Lanzar una aplicación umbral Se gestionan con la herramienta de rendimiento > alertas > Añadir, Borrar, Configurar con wizard + ¿Qué debemos monitorizar? De cara a cuestiones de monitorización, vamos a considerar 3 tipos de servidores De dominio: se dedican a autenticaciones, y requiere que el subsistema Red funcione adecuadamente File & Print: requieren que el subsistema de disco sea óptimo Applications: requiere eficacia en Memoria (que no se formen cuellos de botella por paginación) y en CPU Recordemos que los 4 recursos o subsistemas fundamentales a monitorizar son Memoria, Disco, CPU y Red Dependiendo del tipo de servidor que administremos debemos actuar por tanto de una forma u otra, haciendo énfasis en los subsistemas mencionados A continuación vamos a recorrer cada subsitema o recurso viendo qué se debe considerar y monitorizar con cada uno + Monitorización de Memoria El principal problema de este recurso es la hiperpaginación Se deben considerar los siguientes contadores Pages/sec – nº de páginas leídas/escritas de disco por segundo Available Bytes – memoria física disponible Mínimo 5% del total Committed Bytes – memoria usada para RAM y ficheros de paginación El ideal son de 0-20 Aceptable si permanece menor que la memoria física Fallos Pag/seg – debe ser bajo, por debajo de 5 Si estos umbrales no se cumplen, tendremos problemas de hiperpaginación La posible solución pasa por aumentar la RAM o por disminuir el nº de aplicaciones ejecutadas que consuman memoria + Monitorización de CPU El principal problema radica en que haya procesos que consumen la CPU innecesariamente Los contadores que se deberían considerar son: %Tiempo procesador (de trabajo útil) Debe permanecer por debajo del 85% Objeto Sistema > Processor Queue Length El número de procesos en modo listo debe ser menor que 10 Longitud Cola de Servidores Debe permanecer por debajo de 4 Interrupciones/seg – depende del procesador pero debe ser bajo (tal vez se puede mejorar actualizando el controlador) Solución general Comprobar procesos que consuman mucha CPU Añadir CPUs o aumentar su capacidad (sobre todo en servidores de aplicación con aplicaciones multihilo) + Monitorización de Disco Se deben determinar problemas comunes: cuellos de botella, fragmentación de disco, necesidad de más discos o más rápidos, mucha paginación, eficiencia del disco, etc. Los contadores que se deberían considerar son: %Disk Time Debe permanecer por debajo del 50%, si no estudiar posible hiperpaginación Current Disk Queue Length Debe ser de entre 0 y 2 Media de B/transferencia disco Debe permanecer por encima de la línea base B/seg del disco Debe igualmente permanecer por encima de lo establecido en la línea base Solución general Mejorar subsistema de discos en capacidad o número + Monitorización de Red Un cuello de botella en este recurso implica errores de conexión cliente-servidor, debido a Servidor sobrecargado Red sobrecargada Pérdida de integridad de red Los contadores a monitorizar son: Utilización de red (task manager) B enviados/seg Igual o mayor que en la línea base B recibidos/seg Igual o mayor que en la línea base En el servidor, B recibidos/seg Debe permanecer por debajo del 50% de su capacidad Soluciones posibles Crear subredes Añadir servidores para balanceo de carga mejorar los adaptadores de red de los equipos Eliminar interfaces obsoletos u operaciones de red innecesarias + Índice Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Administración de Dispositivos Dispositivo es todo equipamiento que se adjunta a un ordenador Driver es un programa SW que permite que el SO se comunique con el dispositivo. Para su uso se debe instalar y cargar previamente Hay una URL con todo el HW compatible con Microsoft http://www.microsoft.com/whdc/hcl/default.mspx Las herramientas a emplear en la administración de dispositivos son la lista de HW del equipo y el administrador de dispositivos (dentro de herramientas de sistema) La firma digital asegura que un driver ha sido probado y verificado por los fabricantes (en cierto modo asegura su buen funcionamiento) + Administración de Dispositivos Existen tres herramientas para la verificación de firmas digitales Windows File Protection – está en 2º plano comprobando los ficheros protegidos del sistema (.sys, .dll, …), cómo se actualizan, si tienen firma digital, etc. System File Checker (por línea de comando) Comprueba las versiones de los ficheros de sistema protegidos sfc /scannow lista todos los ficheros sin firma sfc /scanboot indica que se haga el escaneo anterior al inicio cada vez sfc /cancel cancela el anterior File Signature Verification que comprueba las firmas de los ficheros (sigverif) + Administración de Dispositivos Dependiendo del entorno (políticas de empresa, etc.) tenemos políticas de administración más o menos restrictivas. Hay 3 posibilidades Permitir que se usen drivers sin firmar Permitir la instalación de los drivers sin firma pero avisar con un evento registrado de ésta acción No permitir la instalación sin firma digital Éstas políticas se establecen como directivas de grupo (en MMC, por ejemplo) Para ello hay que crear/vincular GPO y editar las opciones de seguridad (en directivas locales) > Dispositivos También se puede configurar un equipo (En HW, firma de controladores) prevaleciendo esta configuración sobre posibles GPOs + Administración de Dispositivos También es interesante la opción de recuperación de drivers que nos permite regresar a la versión inmediatamente anterior del driver (no se puede volver a otras más antiguas) Ésta opción no es válida para impresoras Por último, si queremos eliminar un dispositivo, no nos sirve desinstalar el controlador, ya que casi todos los dispositivos son Plug&Play y se reinstalará al reiniciar Lo que debemos hacer es deshabilitar el dispositivo desde el administrador de dispositivos + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Índice Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Gestión de Discos Windows 2003 Server incluye dos tipos de almacenamiento Modo de almacenamiento básico, con particiones Primarias (hasta 3) Extendidas (una) que se puede dividir en particiones lógicas ∑=4 lógicas Primarias Extendida Partición de sistema, con ficheros necesarios para arrancar: boot.ini, ntldr, ntdetect.com Partición de arranque, con la carpeta C:\Windows con los ficheros del SO Modo de almacenamiento dinámico, con volúmenes No hay límite de 4 Primarias + Gestión de Discos Las particiones son divisiones lógicas del modo de almacenamiento básico Hay hasta 24 letras de partición, se pueden asignar letras o borrarlas, cambiando las rutas de acceso Una partición primaria no se puede subdividir Una partición extendida no es accesible hasta que no cuenta con particiones o unidades lógicas Del mismo modo, una primaria es inaccesible hasta que no se ha formateado + Gestión de Discos Herramientas para la gestión de discos Administrar Mi PC > Administrador de disco MMC > añadir a la consola administrador de disco del equipo deseado Desde shell, diskpart que ofrece un prompt propio list disk select disk 0 – lo seleccionamos para listar particiones o gestionarla create partition [primary|extended] size=… delete partition Se puede asignar letra a la partición, cambiarla, etc. help + Sistemas de Ficheros Sistema Operativo Sistema de Ficheros Windows 95 FAT Windows 98 FAT, FAT32 Windows NT FAT, NTFS Windows 2000/2003/XP/Vista/7 FAT, FAT32, NTFS El formato FAT sólo es eficaz con espacios de 200 MB o menos Su seguridad está basada en RD_ONLY pero lo puede cambiar cualquiera No hay seguridad local, ni propietarios de ficheros Además FAT no permite de forma interna comprimir archivos FAT 32 es una mejora de FAT, admite discos mayores y permite sectores menores Aumenta la velocidad de transferencia y acceso Máximos de 32 GB por partición Permite comprimir ficheros No tiene seguridad local Tamaños de fichero menores a 4 GB + Sistemas de Ficheros NTFS permite discos de hasta 2 TB Sus i-nodos implican una sobrecarga, y tiene sentido solo para discos y particiones mayores de 400 MB Admite ficheros tan grandes como permita la partición Supone un aumento de fiabilidad De cara al usuario responde como una FAT32, lo que es adecuado dado que es más pesado y con mayor sobrecarga Aparecen conceptos de seguridad Usuarios se autentican Existe propiedad de ficheros, que pertenecen a determinados usuarios Permite la compresión/cifrado de particiones y volúmenes así como de ficheros y carpetas Permite además montar volúmenes en carpetas Conclusión: usaremos siempre NTFS salvo… En pendrives o dispositivos de almacenamiento/particiones menores a 400 MB Que queramos compatibilidad con sistemas de ficheros antiguos + Sistemas de Ficheros Podremos convertir de un formato a otro con el mandato convert Ejemplo: convert d: /fs:ntfs FAT ok NTFS Se pierden datos, necesitamos backup Se puede montar una partición o volumen en una carpeta NTFS vacía Se pueden de hecho montar sistemas de ficheros diversos en un mismo árbol de directorios Así se pueden añadir dispositivos sin usar letras Estas gestiones se pueden hacer desde el administrador de discos o con diskpart y la opción assign La carpeta no aparece como tipo <directorio> sino como tipo <junction> Al desmontar el dispositivo/partición/volúmen la carpeta queda vacía + Modos de almacenamiento Básico ok Dinámico Si la partición tiene SO anterior a W2000 quedará dañada Se pierden datos, necesitamos backup Los discos dinámicos no limitan el número de volúmenes y se suelen usar para discos con tolerancia a fallos Al pasar de almacenamiento básico a dinámico las particiones se convierten en volúmenes Si queremos hacer el paso contrario, además del backup debemos borrar todos los volúmenes Los discos dinámicos son más complejos, requieren aproximadamente 1 MB al final para su metainformación La conversión a dinámico se puede hacer con el administrador de discos o con diskpart > select disk 0 > convert dynamic + Tipos de volúmenes Existen distintos tipos de volúmenes Volumen simple Es el concepto de partición normal pero en discos dinámicos Se puede extender si tiene formato NTFS Al convertir el modelo básico en dinámico las particiones pasan a ser volúmenes de éste tipo Se crean con el administrador de discos o con diskpart > select disk 0 > create volume simple size=200 disk=0 (el tamaño es en MB) Volumen extendido Se puede extender un volumen existente usando espacio no asignado adicional (sólo con NTFS) Si lo extendemos en el mismo disco se obtiene un volumen simple mayor, y si lo hacemos con espacio libre de varios discos creamos un volumen distribuido Se trata de espacio unido bajo un mismo volumen lógico Se escribe secuencialmente, no mejora la E/S Se crean con el administrador de discos o con diskpart > select disk 0 > extend size=… + Tipos de volúmenes Volumen seccionado Combina áreas de espacio de distintos discos Se escribe/lee en rodajas de 64 KB lo que permite (si el controlador es adecuado) acceder a varios discos a la vez Mejora E/S El espacio de los discos debe ser similar Se crea con el administrador de discos o con diskpart > create volume stripe size=200 disk=0 Volumen RAID-5 Gestiona tolerancia a fallos de volumen seccionado (es un volumen seccionado particular) incluyendo información de p d d paridad p d d Solo sirve para fallos de un único disco (incluye información de d d p paridad en cada disco) 1/3 perdido Tiene que tener al menos 3 discos Desperdicia espacio, 1/n del espacio perdido en paridad, siendo n el nº de discos Volumen reflejado Cada información está duplicada (no necesitamos paridad) En caso de fallo la recuperación es inmediata Desperdiciamos el 50% del espacio + Tipos de volúmenes Disco extranjero Es un disco dinámico que se ha movido a otro sistema Debemos pinchar en el icono e importar A continuación se muestra una tabla con las posibles conversiones de particiones de tipo básico a dinámico y sus resultados No son posibles en W2000/3 pero puede proceder de WNT Básico Dinámico Particiones de sistema e inicio Vol. simple (de sistema e inicio) Particiones principales, extendidas, unidades lógicas Vol. simple Conjunto de volúmenes Vol. distribuido Conjunto de bandas Vol. seccionado Conjunto de espejos Vol. reflejado Conjunto de bandas con paridad Vol. RAID-5 + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Índice Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Gestión de almacenamiento de datos En este apartado vamos a vamos a ver herramientas administrativas para la gestión del almacenamiento de datos en entornos empresariales Windows 2003 Server, y más concretamente… Compresión de datos Cifrado Establecimiento de cuotas de disco Permisos de acceso + Compresión de Datos NTFS incluye la compresión como parte propia del sistema de ficheros Uno de los atributos de los ficheros es el estado de compresión En carpetas también aparece la compresión (carpetas comprimidas) pero para ellas no es necesario emplear NTFS Las cuotas de disco tienen en cuenta los espacios sin comprimir de los elementos existentes, por si se descomprimiera todo no provocar un caos No es recomendable para información del SO o datos muy usados ¿Cómo realizar la gestión de compresión? Atributos de fichero o carpeta > opciones avanzadas > comprimir (aquí está también la opción de cifrar) Mandato compact compact /? – ofrece ayuda compact /c ejemplo – comprime compact /n ejemplo – descomprime Para carpetas, podemos emplear zip (por ejemplo con enviar a > carpeta comprimida, desde Windows explorer) + Compresión de Datos Efectos de copiar/mover información comprimida en NTFS Si copiamos fichero a una carpeta dentro de la misma partición NTFS el fichero hereda los atributos de compresión Si en vez de copiarlo lo movemos, no los hereda (retiene su atributo) Si lo movemos/copiamos entre volúmenes distintos, el fichero heredará siempre los atributos Si cambiamos de FAT a NTFS se heredan los atributos, y viceversa ¿Que debemos comprimir? Documentos de Office Ficheros grandes que no sean de SO ni muy usados (sobrecargaría el sistema) Ficheros que no sean ya comprimidos, ya que no ganaríamos nada (.mpeg, .zip, .rar, etc.) + Cifrado de Datos NTFS ofrece el denominado EFS Encryption (es suyo propio y resulta ser otra ventaja importante frente a FAT) y es totalmente transparente al usuario De esta forma se ofrece seguridad adicional (además de los permisos) para la posibilidad del robo físico del disco (por ejemplo) No se puede usar a la vez compresión y cifrado Solo el usuario que encriptó los ficheros los puede descifrar Se puede delegar ese poder de descifrado (no lo veremos) Se usa un sistema de clave privada A parte de mediante los atributos (como vimos en compresión) existe un mandato llamado cipher para la gestión de la encriptación cipher /? – ayuda cipher – muestra el estado cipher /E – cifra la carpeta actual cipher /D – la descifra cipher /F – fuerza a cifrar incluso información ya encriptada cipher /K – crea nueva clave privada para el usuario actual + Cifrado de Datos Efectos de copiar/mover información cifrada en NTFS Si movemos/copiamos una carpeta no cifrada a una cifrada, se hereda el atributo (se encripta) Cualquier fichero copiado/movido a una carpeta cifrada se cifrará Si un fichero o carpeta cifrada se copia o mueve a una no cifrada permanecerá cifrada … Conclusión – Todo lo cifrado seguirá cifrado por SEGURIDAD, salvo de NTFS a FAT que se pierde la encriptación (pero esa copia solo la puede hacer el propietario) + Establecimiento cuotas de disco A partir de Windows 2000 surgen las cuotas de disco que sirven para establecer limitaciones a los usuarios de cuánto disco pueden llegar a ocupar con sus cosas Es posible rastrear el uso de disco de cada usuario, y escribir en logs su utilización y explotación Las cuotas de disco aparecen de nuevo con NTFS (es otra ventaja) Existen dos niveles de limitación Uno de advertencia Otro real, que es el límite máximo a partir del cual no se permite escribir más Si se supera la cuota existen varias soluciones Ampliarla Cambiar la información del propietario Borrar datos y aplicaciones inservibles ¿Comprimir NTFS? NO, no tiene en cuenta el tamaño comprimido sino el real + Establecimiento cuotas de disco Para establecer cuotas podemos ir al disco NTFS, botón derecho > pestaña cuotas y ahí… Habilitar las cuotas Establecer límites para los usuarios (de advertencia y cuota real) También podemos establecer valores de cuota (quote entries) para usuarios concretos, no uno por defecto para todos, en las propiedades del usuario Se pueden exportar/importar las entradas de cuota En la cuota emplearemos la opción exportar Se guarda en un fichero que se puede importar desde este mismo menú en otra máquina + Permisos de Acceso Con el sistema de ficheros NTFS aparecen permisos a nivel local para determinados ficheros y directorios Cuanto compartimos una carpeta, podemos definir a su vez permisos a parte En un elemento, botón derecho > pestaña seguridad > permisos locales y lista de usuarios con sus permisos La carpeta compartida puede estar en NTFS, FAT o FAT32 ¿Cómo se combinan estos permisos? + Permisos de Acceso Ejemplo Permisos NTFS (local) Control total usuario A Lectura usuario B L/E usuario A E usuario B ¿Qué permisos tiene A a través de la red? Lectura/Escritura ¿Y B? No tiene permisos ¿Y si no acceden por red? No hay combinación, se usan los de NTFS en local Se usará siempre la combinación más RESTRICTIVA, y denegar un permiso siempre prevalece al resto ¿Y a nivel de grupo? Supongamos un grupo B al que el usuario B pertenece, con permisos NTFS de escritura B en local tendría Lectura/Escritura B en red tendría solo de escritura A nivel de grupos se hace la combinación menos restrictiva, salvo con denegación explícita de permisos, que prevalece siempre Permisos carpeta compartida + Introducción Mandato Ejecutar como… Administrador de equipos Escritorio Remoto Monitorización de Rendimiento Índice Administración de Dispositivos Parte 2 – Admin WS2003 Gestión de Discos Gestión de almacenamiento de datos Recuperación de desastres + Recuperación frente a fallos En esta sección explicaremos como recuperar información vital ante un fallo o desastre en el sistema Datos de negocio de la empresa Información de configuración y gestión de las máquinas Para ello necesitamos Un plan de recuperación – consistente en realizar frecuentemente backups Reemplazar HW estropeado Restablecer Datos Testear HW y SW + Recuperación frente a fallos El proceso de realizar regularmente backups debe consolidarse con las siguientes acciones o procesos Probar los ficheros de backup (¿pueden utilizarse?¿ Emplear dos tipos de ficheros Uno on-site, al menos en el mismo edificio, por accesibilidad Otro off-site, en otro edificio por seguridad Se debe tener copia redundante del estado del sistema, las máquinas, AD, etc. Instalar consola de recuperación Mantener los CDs, DVDs o distribuciones de instalación a mano El proceso de restaurar la información debe consistir en un proceso de copia de datos en un dispositivo alternativo, para prevenir pérdidas de datos ¿Qué salvaguardar?¿con qué frecuencia?¿hacerlo por red? + Recuperación frente a fallos Cualquier usuario puede hacer backup de sus datos Además, si se tienen permisos del tipo read, R&X, modificación o control total sobre la información, se puede salvar la misma En los entornos Windows 2003 Server hay 2 figuras destinadas a estas labores: Administradores Operadores de backup De hecho, hay una GPO que lo establece Configuración seguridad > directivas locales > asignación de derechos > backup de info. ó restaurar archivos y directorios Pueden ser personas distintas (hacer backup y restaurarlo) lo que aumenta la seguridad + Recuperación frente a fallos Los datos de estado del sistema son información relevante del SO que permite cargar, configurar y ejecutar el SO Componentes: registro, boot files, BD de servicios de certificado, AD, sysvol dir si es DC, información del servicio clúster, metadirectorio IIS, ficheros del sistema bajo protección (Win File Protection), … Tipos de backup Los ficheros cuentan con un atributo <fichero (0 ó 1)> El 1 indica que ha sido modificado pero no copiado Hay tipos de backup que modifican este atributo al copiar y otros que no (sirve para dirigir los procesos de copiado) A continuación se muestra una tabla con los tipos de copia + Recuperación frente a fallos Tipo de copia Descripción Modificación de atributo N – Normal Backup de ficheros o carpetas seleccionadas Lo pone a 0 (cuando alguien lo modifique volverá a 1) C – Copia Backup de ficheros o carpetas seleccionadas No lo modifica D – Diferencial Backup de toda la información con atributo=1 No lo modifica I – Incremental Backup de toda la información con atributo=1 Lo pone a 0 D’ – Diario Backup de los datos modificados en el día No lo modifica + Recuperación frente a fallos Ejemplos de política de backups L Cambios F1(1) F3(1) Backup D Copias F1, F3 M X F2(1) J V S D F4(1) D D D F1, F2, F3 F1, F2, F3 F1, F2, F3, F4 N Tras el fallo del viernes, ¿Qué hacemos? Basta con recuperar la copia normal del domingo anterior y la diferencial del día anterior Las copias diferenciales copian la información que ha cambiado desde el último backup normal o incremental Idea con una copia normal y una diferencial basta Son copias grandes y costosas (mucho espacio y tiempo) + Recuperación frente a fallos Cambio de política L Cambios F1(1) (0) F3(1) (0) Backup I Copias F1, F3 M X F2(1) (0) I F2 J V S D F4(1) (0) I I N F4 Tras el fallo del viernes, ¿Qué hacemos? Recuperar la copia normal del domingo anterior y todas las incrementales en su orden Las copias incrementales son más rápidas y pequeñas, pero la restauración es más costosa Idea Combinar políticas dependiendo de probabilidades de fallo, intereses corporativos, etc. + Recuperación frente a fallos Herramientas de backup Por línea de comandos ntbackup (con /? abre la herramienta de Windows, aunque se pueden usar opciones para hacerlo con scripts) Presenta limitaciones Backup de directorios enteros No se pueden usar caracteres comodín (*, ?, etc.) ASR (Automated System Recovery) Opción de recuperación con soporte para backups y restauraciones Crea un disquete (o penflash) de recuperación con Localización de información de backup Configuración de disco Como llevar a cabo el proceso de restauración Con el asistente que se encuentra en accesorios > herramientas del sistema > copia de seguridad, que cuenta con wizards para cada operación + Recuperación frente a fallos Herramientas de planificación de backups En la misma herramienta de copia de seguridad, con la pestaña “programar trabajos” Mediante el asistente “añadir tarea” se pueden programar trabajos de una sola vez, diarios, semanales, etc. Herramientas de restauración Se emplea de nuevo la herramienta de copia de seguridad, con la pestaña “restauración y administración de medios”, restaurando lo salvado previamente Si optamos por restauración mediante ASR tendremos el disquete o pen creado (deberíamos crear otro con cada cambio del SO que sea importante) Introduciríamos el medio y durante el arranque, pulsar F2 Debemos intentar restaurar ficheros NTFS sobre el sistema NTFS para no perder atributos + Recuperación de fallo en servidor Plan estructurado a seguir en caso de fallo del servidor Arranque en modo seguro 1. Usa configuración por defecto con mínimo número de drivers y componentes Si así podemos arrancar y en modo normal no, podemos diagnosticar problemas, cambiar configuraciones, ver el visor de sucesos, eliminar SW instalado, o como última opción reinstalar el SO Para ello pulsaremos F8 al arranque. Opciones Modo seguro – prevendrá problemas de por ejemplo, nuevo SW Modo seguro + red – diagnósticos de problemas de red Modo seguro + cmd – para problemas con la tarjeta gráfica El registro no se modifica (no cambia la última configuración buena conocida) + Recuperación de fallo en servidor Si no localizamos el error, puede ser problema de configuración Última configuración buena conocida 2. Es otra opción al pulsar F8, y diagnosticaría malas configuraciones del SO Se almacena en el registro, HKEY_LOCAL_MACHINE/SYSTEM/ en control_set_001, control_set_002, …, current_control_set Si se arranca sin problemas, el SO sobrescribirá la última buena conocida Si no ha sido un problema de configuración no es útil + Recuperación de fallo en servidor Si no localizamos el error, puede ser error de dispositivos 3. Consola de recuperación Funciona en modo shell y permite acceder a dispositivos, habilitar/deshabilitar drivers, copiar ficheros del medio de instalación a disco, crear nuevo Master Boot Record (fixmbr) y reparar configuraciones de boot Para usarla hay que instalarla previamente, antes de que la necesitemos Instalación previa al fallo Localizar la carpeta i386 en el medio de instalación En ella, buscar winnt32/cmdcons Así creamos una opción nueva en un menú al arrancar (similar a GRUB o Lilo) con la consola de recuperación Sin instalación previa al fallo Usaremos el propio CD o DVD, pulsando R Si el problema viene de los ficheros del sistema es posible que no podamos solucionarlo así + Recuperación de fallo en servidor 4. Disco de arranque de Windows Debe contener ntldr, ntdetect.com y boot.ini En el fichero boot.ini aparece [boot loader] Timeout=30 – tiempo que tarda en tomar el SO por defecto Default= multi(0) disk(0) rdisk(0) partition (1) \Windows Ésta es la ruta ARC para la identificación de particiones Debe indicar al final la carpeta con el sistema de ficheros del SO Para discos scsi sin Bios activada, la primera parte es scsi(n) donde n es el nº de orden de la controladora Para controladoras no scsi o scsi con Bios activada la primera parte es como aparece, multi(n) significando n lo mismo En el caso de multi(i) se usa disk(0) siempre Para scsi(n) se usará disk(i) donde i es el número de disco y elimina la parte de rdisk(i) (sería rdisk(0) siempre) rdisk(n) se usa en multi(i) para indicar el número de disco Por último aparece la partición + Recuperación de fallo en servidor Ejemplos de rutas ARC 0 1 scsi 0 1 multi 2 0 1 2 3 scsi(1) disk (2) rdisk (0) partition (2) multi(0) disk (0) rdisk (1) partition (3) Utilidad: así sabemos crear discos de arranque de por ejemplo, un disco espejo usado por el SO redirigiendo boot.ini [operating system] Contiene la información de SOs instalados, mensajes que se muestran, etc. Todo esto se puede cambiar desde Mi Pc > propiedades > opciones avanzadas > inicio y recuperación + Conclusiones El orden de las técnicas en caso de fallo debe ser el descrito Primero en modo seguro para no modificar la última configuración buena conocida Luego probar con dicha última buena configuración Pasar a usar la consola de recuperación si sabemos con exactitud cual ha sido el fallo Por último, usar ASR para hacer un backup del SO y luego realizar un backup del resto La última posibilidad es formatear minimizando la pérdida de datos + Parte 2. Mantenimiento del Entorno Windows Server 2003 Administración Windows Server 2003 + Administración Windows Server 2003 Técnico en Administración de Sistemas y Redes TCP/IP Modulo 2. Administración básica de sistemas Windows Server
