Académique Documents
Professionnel Documents
Culture Documents
FUNDACIN TOMILLO
TECNOLOGAS BASE WINDOWS 2008 SERVER
NDICE DE CONTENIDOS
1. Caractersticas y versiones. 2. Proceso de instalacin de un servidor Windows 2008 Server. 3. Active Directory. 3.1. Instalacin de Active Directory en el servidor 3.2. Objetos estndar; Usuarios, grupos y equipos. 3.3. Objetos contenedores: Unidades organizativas, dominios, rboles y bosques. 3.4. Directivas. 4. Sistema de archivos: Cuotas de disco. Compartir y Seguridad . 4.1. Cuotas de disco. 4.2. Compartir archivos. 4.3. Permisos de Seguridad (NTFS). 5. DHCP. 5.1. Funcionamiento general de DHCP. 5.2. Proceso de instalacin y configuracin del servidor DHCP. 6. DNS. 6.1. Estructura del sistema y formato de nombres. 6.2. Funcionamiento del sistema: Clientes y servidores. 6.3. Comparativa nombres NETBIOS vs nombres DNS. 6.4. Instalacin y configuracin de un servidor DNS. 6.5. Instalacin y configuracin de un cliente DNS. 7. Principales herramientas administrativas. 7.1. Consola de administracin del servidor. 7.2. Acceso a herramientas administrativas, MSCONFIG, Shell y PowerShell. 7.3. Administracin de discos. 7.4. Auditorias. Registro/Visor de eventos. 8. Roles especficos 2008 Server Active Directory. ANEXO Virtualizacin bsica de servidores en estaciones de trabajo
En todas las versiones hay ediciones para 32 y 64 bits. (*) = 64 bits Todas las versiones incluyen un modo operativo denominado Server Core: Se suprime casi completamente la interface grfica, administrndose mediante lnea de comandos y lenguaje de scripting muy mejorado basado en .NET Framework denominado PowerShell. Adems se especializa en los roles (funciones) ms importantes. La ltima release es 2008 Server R2 (22 de Octubre de 2009), que dispone del ncleo de Windows 7 (N.T 6.1), existiendo nicamente versiones para 64 bits.
Fundacin Tomillo
TECNOLOGAS DE CLUSTER
Equilibrio de carga en la red (NLB): La tecnologa de equilibrio de carga en la red (NLB) distribuye el trfico IP entrante a travs de un clster de servidores (conjunto de servidores trabajando en comn). Esta tecnologa es ideal para posibilitar la escalabilidad y proporciona disponibilidad para servidores Web y de correo. Clster de conmutacin por error: Proporciona tolerancia a fallos. Varios servidores trabajan juntos y coordinados de tal manera que si uno falla los otros se hacen cargo de su trabajo.
Al reiniciar el se lanza automticamente el asistente para las tareas iniciales de configuracin, para las que hay que tener presentes los siguientes aspectos: El servidor est disponible sin Active Directory (solo dispone de usuarios locales) ni servicios de red como servidor DHCP, Servidor DNS o Servidor de aplicaciones. La conexin al PC se har con el usuario Administrador local hasta que se instale Active Directory. Al tratarse de un servidor es vital asignarle IP esttica fija. Por lo que y ajustar manualmente los parmetros. Si se tiene pensado que sea servidor DNS en la IP del servidor DNS se pondr 127.0.0.1. Tambin es importante asignarle nombre a la mquina local. Si es el primer servidor obligatoriamente se configurar en trabajo en grupo ya que no existir ningn servidor controlador de dominio. Una vez instalado y configurado inicialmente el sistema operativo comenzar la labor de administracin: Instalacin de Active Directory, asignacin de permisos, directivas, instalacin de servicios como los servidores DHCP y DNS, etc.
Fundacin Tomillo
3. Active Directory.
Active Directory es una Base de Datos de los objetos de red organizada de forma estructurada y jerrquica. A la estructura se le denomina Servicios de Directorio (Directory Services). La instalacin de Active Directory en un ordenador con Windows 2008 Server lo convierte en un controlador de dominio, es decir, le permite administrar usuarios, sesiones, autenticacin y permisos de todo un dominio.
Al instalar AD el ordenador se convierte en controlador de dominio (DC). ste puede ser de varios tipos: - Controlador de dominio para un dominio nuevo. Crea un dominio nuevo. - Controlador Adicional de dominio: Replica a un controlador existente sin crear dominio. - Dominio Secundario: Crea un dominio dentro de otro (ejemplo: cm.tomillo.org en tomillo.org). Hay que tener presente que Active Directory utiliza el sistema de nombres de domino (DNS), incluido el nombre del propio servidor. Por esta razn si se selecciona Controlador de dominio para un dominio nuevo hay que lanzar la instalacin del servidor DNS, bien desde la propia instalacin de Active Directory o bien con los procedimientos descritos en el Epgrafe 6. NOTA: En el epgrafe 6 se explica el funcionamiento del sistema de nombres de dominio de forma genrica y su implantacin en Windows Server. En el servidor, ahora controlador de domino, desaparecen los usuarios locales una vez instalado Active Directory. El Administrador local se convierte en el Administrador del dominio. Los archivos quedan instalados de forma predeterminada en: Base de Datos y Registro: Directorio \ WINDOWS\ NTDS Archivos Pblicos del Dominio: Directorio \ WINDOWS \ SYSVOL y subdirectorios \ WINDOWS \ SYSVOL\ SYSVOL \ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ POLICIES \ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ SCRIPTS Compartida con el nombre SYSVOL Contiene las directivas Contiene Comandos de Inicio de Sesin (Compartida con el nombre NETLOGON)
Mtodos de desinstalacin Mtodo 1. Usar la Consola de Administracin del Servidor: Quitar rol (funcin) Controlador de Dominio. Mtodo 2. Inicio, Ejecutar, DCPROMO. Accesos administrativos - Inicio, Programas, Herramientas Administrativas, Usuarios y Equipos de Active Directory - Inicio, Programas, Herramientas Administrativas, Sitios y servicios de Active Directory - Inicio, Programas, Herramientas Administrativas, Dominios y confianzas de Active Directory - Consola de Administracin del Servidor, Funciones, Controlador de Dominio.
Fundacin Tomillo
Usuarios
Son un principal de seguridad. Representan a una persona, permitiendo iniciar sesiones en red y tener acceso a los recursos mediante permisos. En Microsoft Windows pueden ser de dos tipos: - Usuarios locales: Usuarios de la mquina local que no se conectan a ningn dominio. Se administran con el Administrador de Equipos, Usuarios Locales. - Usuarios Globales: Usuarios de Active Directory, objetos principales de seguridad que se pueden conectar a un dominio directamente o a un dominio en el que se confa. Se administran con Active Directory mediante cuentas de usuario. Principal de Seguridad: Entidad a la que se asigna automticamente un Identificador de Seguridad (SID) para iniciar sesiones de red y obtener acceso a recursos. Lo son los usuarios, los grupos de seguridad y los equipos (ordenadores unidos al dominio). Perfiles de Usuario Al igual que en los sistemas para estaciones el perfil de usuario la herramienta que permite especificar el aspecto del escritorio, barra de tareas y men inicio, etc. Ahora hay tres tipos: - Perfil local: Solo accesible en la estacin de trabajo donde se ha creado (se guarda en la carpeta \Documents and settings\NombreUsuario de la estacin) - Perfil mvil (red): Perfil accesible en un servidor Windows 2008 que puede modificarse tanto por el propio usuario como por los administradores. Se guarda en el servidor (archivo principal ntuser.dat). - Perfil obligatorio (red): Perfil accesible en un servidor Windows 2008 que puede modificarse por los administradores (los cambios realizados por los usuarios no tienen efecto). Se guarda en el servidor (archivo principal ntuser.man). Archivo de comandos para inicio de sesin Se pueden realizar Scripts (comandos de inicio) en archivos BAT o utilizar Windows Scripting Host (con Visual Basic Script o Java Script). Para facilitar el uso hay variables de acceso a los elementos. Scripting mediante BAT Comandos de smbolo Sistema DOS Comando NET Variables principales %HOMEDRIVE%: Letra asignada al directorio particular de usuario %HOMEPATH%: Ruta de acceso al directorio particular de usuario %OS%: Sistema operativo en el que funciona la estacin %USERDOMAIN%: Dominio en el que est la cuenta de usuario %USERNAME%: Nombre del usuario
Ejemplo: Crear con un editor un archivo denominado ARCHIVO.BAT con el contenido que se muestra a continuacin para asociarlo posteriormente a cuentas de usuario. @ECHO OFF NET TIME \\SERVIDOR /YES NET USE F: /DELETE NET USE F: \\SERVIDOR\PROGRAMAS /YES NET USE LPT1: /DELETE IF %USERDOMAIN%=XCOM THEN USE LPT1: \\PRINCIPAL\LASERJET III Una vez realizado se asigna su ejecucin en la ficha de los usuarios a los que se quiera aplicar (ver administracin). Usuarios creados en la instalacin: Administrador e Invitado (Deshabilitado). Administracin: Inicio, Programas, Herramientas administrativas, Usuarios y Equipos de Active Directory.
Fundacin Tomillo
Grupos
Son listas de objetos (usuarios, equipos y otros grupos). Pueden ser de 2 Tipos y tener 4 mbitos. Grupo de Seguridad: (Principal de Seguridad). Se muestran en las listas de acceso de control discrecional (DACL) pudiendo tener acceso a los recursos mediante permisos. Grupo de distribucin: No son principales de Seguridad. Se utilizan para correo electrnico Locales: Slo pueden tener miembros de usuarios locales (W2000 Professional/XP/Vista/7 o Server sin AD). Local Dominio (AD): Global (AD): Universal (AD): Miembros: Elementos de su dominio Miembros: Cualquier dominio Miembros: Cualquier dominio Concesin Permisos: En su dominio Concesin Permisos: En su dominio Concesin Permisos: Cualquier dominio
Locales de Dominio: Se utilizan para definir y administrar los recursos en un solo dominio. Globales: Su uso simplifica el control de un dominio con usuarios del propio o de otros dominios. Universales: Se utilizan para consolidar grupos que abarcan varios dominios. Grupos principales creados en la instalacin: Locales de Dominio Administradores DHCP Administradores DNS Administradores Windows Media Servidores RAS e IAS Usuarios DHCP Usuarios WINS Globales Administracin de Empresas Administradores de Esquemas Administradores del Dominio Controladores del Dominio Invitados del Dominio Usuarios del Dominio
Ejercicio: Crear dos grupos y asignarle los usuarios generados en el ejercicio anterior.
Equipos
Son objetos que se crean automticamente al unir las estaciones al dominio y las representan para aplicarles permisos y para que las estaciones reciban las polticas de seguridad del dominio. Unin de estaciones al dominio Ya que seguramente todava no se disponga de un servidor DHCP la configuracin TCP/IP de las estaciones se har, de momento, de forma esttica (manual), teniendo en cuenta que, de momento, las estaciones tienen que estar en la misma red IP que el servidor y que se pondr como servidor DNS la IP del servidor Windows 2008, ya que al instalar Active Directory tambin pas a ser servidor DNS. Teniendo en cuenta estos aspectos el procedimiento a realizar en una estacin con Windows 95/98/ME/2000/XP/Vista/7 para unirla al dominio creado es muy sencillo: Paso 1. Acceder a Mi PC. botn derecho Propiedades. Paso 2. Acceder a la pestaa Nombre de equipo. Pulsar en Cambiar. Paso 3. Introducir el nombre que se quiere dar al equipo y el nombre del dominio al que se quiere unir. Paso 4. Se piden las credenciales de un usuario que pueda realizar esta operacin (por ejemplo el Administrador del dominio). A partir de ese momento cuando arranque la estacin se puede elegir si trabajar en modo local o conectarse al dominio al que se ha unido.
Fundacin Tomillo
secundario1.ms.com
secundario2.ms.com
terciario. secundario1.ms.com
CONCEPTOS ASOCIADOS
Relaciones de Confianza: Permiten a un controlador de dominio A autenticar usuarios de un controlador de dominio B. Se dice que B confa en A. Las relaciones pueden ser: - Transitivas (dominios de un mismo rbol/bosque) / Intransitivas (dominios de bosques diferentes). - Bidireccionales (dominios de un mismo rbol/bosque) / Unidireccionales (dominios de bosques diferentes). Si se une un dominio a un mismo bosque se establecen las relaciones AUTOMTICAMENTE. Replicaciones: Sistema por el cual los usuarios y los servicios tienen acceso a cualquier parte del bosque. Para que sea posible el sistema desarrolla un sistema de comunicacin AUTOMTICO entre los diferentes controladores de dominio del rbol. Administracin: Inicio, Programas, Herramientas administrativas, Dominios y confianzas de Active Directory.
Fundacin Tomillo
Fundacin Tomillo
Se podra dar el caso, por tanto, de que las GPOs contuvieran polticas que se contradijeran entre s. Cuando se dan casos de estos, el sistema de GPOs est implementado para asegurar que siempre se aplicarn las polticas, y para ello establece una forma de prioridad entre stas por la cual, segn dnde estn asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas que a continuacin se describen.
En esta figura se muestra la prioridad de las GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras, las polticas se suman, slo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la poltica de deshabilitacin del panel de control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, por tanto el panel de control ser visible. Competencia dentro de un mismo contenedor Tambin se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se aplique ms de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre s las GPOs que son aplicadas a se contenedor. Cmo se resuelve esta problemtica? Muy simple: prevalecer la de la GPO que est ms alta en la lista de las aplicadas al contenedor. Esto no significa que una GPO anule a las que estn situadas debajo de ella. Las polticas en realidad se suman cuando no se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior. Procesamiento en modo de bucle inverso Cuando se dispone de equipos que estn en un entorno en el cual se desea tener control sobre su configuracin independientemente del usuario que inicie sesin en l, como por ejemplo laboratorios, aulas, bibliotecas, quioscos, etc., se precisa de un mecanismo que altere la forma de ordenacin del procesamiento en las directivas de configuracin de usuario. Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien sesin en los equipos del aula no puedan acceder al entorno de red. Lo lgico ser crear una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y vincularla a la OU del aula. Bien, esto no funcionara, ya que como la deshabilitacin del panel de control es una configuracin de usuario y el usuario no pertenece a la OU, no se ve afectado por esta poltica. El procesamiento en modo de bucle inverso permite hacer que s se apliquen las polticas de configuracin de usuario a pesar de no pertenecer el usuario a la OU en la que se aplica. Herencia Las GPOs se heredan: Las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. 2. 3. Las OUs de primer nivel heredan del Dominio Las OUs hijas heredan de las de primer nivel Las OUs de nivel 3 heredan de las hijas
Fundacin Tomillo
Fundacin Tomillo
Paso 6. Se pueden ajustar los valores de cuota para los usuarios existentes (botn Valores de cuota). Denegar espacio de disco a los usuarios que sobrepasen su lmite de cuota Los usuarios que sobrepasen sus lmites de cuota recibirn el error " espacio insuficiente en el disco" y no podrn escribir ms datos en el volumen si no eliminan o mueven antes uno o varios archivos. Cada programa trata este error de un modo especfico. Para el programa ser como si el volumen estuviera lleno. Si se desactiva esta casilla de verificacin los usuarios pueden sobrepasar el lmite de cuota. Puede ser til habilitar cuotas y no limitar el uso del espacio de disco cuando no se desea denegar a los usuarios el acceso a un volumen pero s realizar un seguimiento del uso del espacio de disco por parte de cada usuario. Tambin se puede especificar si debe registrarse o no un evento cuando los usuarios superen su nivel de advertencia de cuota o su lmite de cuota. Limitar espacio de disco a Hay que escribir la cantidad de espacio de disco que pueden utilizar los nuevos usuarios del volumen y la cantidad de espacio de disco que debe utilizarse para que se escriba un evento en el registro del sistema. Los administradores pueden ver estos eventos en el Visor de eventos. Registrar evento cuando un usuario exceda su lmite de cuota Si se han habilitado las cuotas se escribe un evento en el registro de sistema del equipo local cada vez que un usuario sobrepasa su lmite de cuota. Los administradores pueden ver estos eventos en el Visor de eventos si aplican el filtro de eventos de disco. De forma predeterminada los eventos de cuota se escriben cada hora en el registro del sistema del equipo local. Registrar evento cuando un usuario exceda su nivel de advertencia Si se han habilitado las cuotas, se escribe un evento en el registro de sistema del equipo local cada vez que un usuario sobrepasa su nivel de advertencia. Los administradores pueden ver estos eventos en el Visor de eventos si aplican el filtro de eventos de disco. De forma predeterminada los eventos de cuota se escriben cada hora en el registro del sistema del equipo local.
Ejercicio: Asignar cuotas de 100 MBytes en el volumen de sistema a los usuarios creados.
Fundacin Tomillo
10
Hay que tener presente que al disponer de Active Directory los permisos se establecen a usuarios globales y a grupos de seguridad, y no solo a usuarios/grupos locales. Carpetas compartidas creadas en la instalacin : ADMIN$ (administracin remota del equipo), IPC$ (comunicacin entre programas), NETLOGON (inicio de sesin en red), PRINT$ (administracin remota de impresoras) y letraUnidad$ (permite conectar al directorio raz).
Propietario de un directorio, archivo u objeto Cuando un usuario crea un directorio, un archivo o un objeto pasa, automticamente, a ser el propietario del elemento. El usuario puede asignar permisos (incluido el permiso especial Tomar Posesin) pero no puede transferir la propiedad a otro usuario. Tambin pueden tomar posesin los Administradores (pero tampoco pueden transferir la Propiedad).
Ejercicio: Crear una estructura de directorios y permisos con un directorio para programas a la que accedan los usuarios creados, un directorio personal por usuario al que solo acceda el propio usuario con control total sobre l y un directorio de datos comn para todos los usuarios.
Fundacin Tomillo
11
5. DHCP.
5.1. Funcionamiento general de DHCP
DHCP (Protocolo de Configuracin Dinmica de HOST) es un sistema que simplifica el proceso de configuracin de los parmetros TCP/IP. Consiste en la asignacin de IPs automticas (dentro de un mbito seleccionado) por parte de un servidor DHCP (ordenador que proporciona IPs bajo peticin) a un HOST que haga una peticin de Direccin IP (cliente DHCP). En la imagen se muestra el funcionamiento de peticiones y concesiones. Los clientes DCHP deben renovar peridicamente sus direcciones IP antes de que expire la concesin. La informacin proporcionada por el servidor DHCP al cliente DHCP no se limita a la direccin IP se puede proporcionar tantos datos como en una asignacin esttica ( mscara de subred, puerta de enlace, servidores DNS, etc.).
Fundacin Tomillo
12
6. DNS.
6.1. Estructura del sistema y formato de nombres
El DNS (Sistema de Nombres de Dominio) es un mecanismo que trata de hacer amigable la asignacin de nombres a direcciones IP evitando la duplicacin de nombres en Internet. DNS es necesario si los ordenadores estn conectados a Internet y se quiere trabajar con nombres en lugar de direcciones IP, por ejemplo con un navegador de Internet. Tambin es necesario si se utiliza Active Directory, ya que DNS es el sistema utilizado para los nombres de los objetos. La tabla de HOST fue el primer mtodo de asociacin nombre Host-Direccin IP. Sigue existiendo en un archivo local de disco pero suele tener bsicamente una entrada: 127.0.0.1 En general DNS consta de: Un espacio de Nombres jerrquico: Este espacio divide la base de datos donde se alojan los Hosts (ordenadores) en elementos denominados dominios. Servidores de nombres de dominio (Servidores DNS): Ordenadores que contienen bases de datos con informacin acerca de los Hosts y de los subdominios del dominio que controlan (bsicamente tablas IPnombres). Clientes DNS (resolvedores de nombres): Elementos que hacen las peticiones de informacin a los servidores de nombres de dominio (servidores DNS). localhost
ESPACIO DE NOMBRES
Nombre completo Host + todos sus dominios padres hasta la raz (separados por puntos). Formato nombre host.subdominios.dominio - Mximo por cada campo:63 caracteres - Mximo total:255 caracteres - No se distingue entre minsculas y maysculas - Dominios y Host no pueden usar los caracteres _ : , / \ ? . @ # $ % & ( ) { } [ ] ; " < > ' Estructura
Fundacin Tomillo
13
Dominios de nivel superior y de segundo nivel Los dominios del nivel ms alto, denominado nivel superior, funcionan como registradores de los dominios de segundo nivel. Si se quiere registrar un dominio en ellos (y que por tanto que cuelgue de ellos) por ejemplo zacker.com, hay que pagar una cuota. El espacio original tuvo 7 dominios de alto nivel generales ms los dominios de cdigo de pas (239 dominios con designacin ISO). com organizaciones comerciales edu organizaciones educativas gov Instituciones del gobierno int organizaciones internacionales mil organizaciones militares net organizaciones de la red org organizaciones no comerciales
Fundacin Tomillo
14
unir
Fundacin Tomillo
15
Creacin de zonas La zona es el inicio de autoridad de la informacin del dominio. En un dominio con solo dos niveles (dominio y Hosts) zona es sinnimo de dominio. Cuando se instala un servidor de dominio secundario para una zona existente se realiza una transferencia inicial completa de todos los registros correspondientes a la zona. A continuacin se expone el procedimiento de creacin de una zona. Paso 1. Acceder a Inicio, Programas, Herramientas administrativas, DNS (o consola Adm. del servidor). Paso 2. Desplegar las ramas del servidor en la parte izquierda de la pantalla. Paso 3. Situarse sobre el servidor y desplegar las Carpetas Zonas de bsqueda directa y Zonas de bsqueda inversa. Paso 4. Hacer click con el botn secundario del ratn sobre Zonas de bsqueda directa (o Zonas de bsqueda inversa) y Marcar crear nueva zona. Paso 5. Seleccionar el tipo de zona: Principal: Crea la zona (la almacena en Active Directory o en un archivo de texto en funcin de la casilla Almacenar en Active Directory). Secundaria: Crea una copia de una zona existente en otro servidor. Proporciona tolerancia a errores y equilibrio de carga. Zona de cdigo auxiliar: Crea una copia con solo el Servidor de nombres, inicio de autoridad y registro de Host. Sin privilegios sobre la zona. Paso 6. Seleccionar el mbito de replicacin. Paso 7. Introducir el nombre de la Zona. Paso 8. Seleccionar procedimiento de actualizaciones dinmicas.
Fundacin Tomillo
16
Funcin: Permite acceder de forma centralizada a los servicios instalados y a las herramientas ms importantes en la administracin de un servidor.
Funciones: Acceso para agregar, Quitar y Administrar las funciones (roles) del servidor: Servidor de archivos, Servidor de DNS, Servidor DHCP, Controlador de dominio, Servidor de aplicaciones, etc. Caractersticas: Acceso para agregar, Quitar y Administrar las caractersticas (aplicaciones aadidas) del servidor: PoerShell, Administrador de directivas de grupo, Herramientas de administracin remota, Servidor SMTP, etc. Diagnstico: Los elementos de este grupo aparecen en todas las versiones de Windows: Visor de eventos, Rendimiento y Administrador de dispositivos, Configuracin: Los elementos de este grupo aparecen en casi todas las versiones de Windows: Programador de Tareas, firewall, Servicios y Control WMI. Almacenamiento: Los elementos de este grupo aparecen en todas las versiones de Windows: Copias de seguridad y Administracin de discos.
Fundacin Tomillo
17
El acceso se realiza a travs de: Inicio, Programas, Herramientas administrativas. MSCONFIG: La herramienta tradicional de todas las versiones de Microsoft Windows para seleccionar las aplicaciones, servicios y modo de arranque tambin est disponible en Windows 2008 Server. Accesos (1) Inicio, Ejecutar, MSCONFIG. (2) Inicio, Programas, Herramientas Administrativas, Configuracin del Sistema.
Sell y Powershell: Al igual que todas las versiones de Microsoft Windows, tanto Server como para estaciones, se incluye el intrprete de comandos CMD (COMMAND). La novedad es que esta versin dispone de la posibilidad de trabajar en modo Server Core, es decir a travs de comandos, para lo cual se incluye un intrprete de comandos muy mejorado desde el que se pueden realizar absolutamente todas las tareas de administracin: PowerShell. En modo Server Core se lanza automticamente, pues no hay otro interface. En instalaciones completas tambin se puede utilizar, previa instalacin de esta caracterstica mediante la Consola de Administracin del Servidor, Caractersticas, Agregar caracterstica. Una vez instalada estar accesible a travs del Men Inicio.
Fundacin Tomillo
18
Notas sobre el uso Para convertir un Disco Dinmico en bsico este no ha de tene r ningn volumen (estar vaco). Si se extiende un volumen de un disco simple a ms discos se convierte automticamente en distribuido. Reactivar: Esta opcin se utiliza cuando se producen errores de entrada/salida transitorios. Nmero mnimo de discos fsicos para los diferentes tipos de volumen: Simple (1) Distribuido (2) Seccionado (2) Reflejado (2) RAID 5 (3) SUSTITUCIN DE UN DISCO DE UN VOLUMEN REFLEJADO DEFECTUOSO Paso 1. Ejecutar la Accin Quitar Espejo en el disco que falla, este disco puede ofrecer varios tipos de error: "Error de Redundancia", "Sin conexin", o simplemente, no aparecer). Paso 2. Apagar el servidor. Paso 3. Sustituir el disco defectuoso por uno que funcione. Paso 4. En el volumen que aun funciona seleccionar Aadir Espejo y asociarlo al nuevo disco. Paso 5. Durante algunos minutos se copiar el disco y se sincronizar (aparece mensaje "Regenerando"). SUSTITUCIN DE UN DISCO DE UN VOLUMEN RAID 5 DEFECTUOSO Paso 1. Localizar y, previo apagado del servidor, desconectar el disco que falla este disco puede ofrecer varios tipos de error: "Error de Redundancia", "Sin conexin", o simplemente, no aparecer). Paso 2. Instalar un disco nuevo con espacio libre suficiente para alojar la informacin. Paso 3. Posicionarse sobre el volumen y Ejecutar la Accin Reparar Volumen. Paso 4. La reparacin se efecta en segundo plano (mientras el volumen est marcado como "Regenerando")
Debido al tiempo empleado para las sustituciones, en los servidores que ejecutan aplicaciones crticas (que requieren atencin inmediata) es preferible el uso de RAID hardware (se instalan como volmenes simples).
Fundacin Tomillo
19
Acceso a Impresoras
Imprimir Administrar Impresora Administrar documentos Cambio de permisos Tomar Posesin
Implementacin de la auditoria con Windows 2003 Server La auditoria se establece con diferentes herramientas que registran los eventos en el registro. Los elementos a auditar y el acceso a las herramientas son los siguientes: Auditoria de Eventos y Seguridad: Se establecen mediante una Directiva de Auditoria (Accesible desde una directiva de Grupo o desde la Directiva de seguridad del dominio). Para cada elemento se puede seleccionar auditar aciertos y/o errores. Auditoria de objetos de Active Directory: Inicio, Programas, Herramientas administrativas, Usuarios y equipos Active Directory, acceder al men ver y seleccionar caractersticas avanzadas. A continuacin hay que elegir el objeto a auditar pulsando con el botn derecho del ratn sobre l, Propiedades, Seguridad, Avanzada, Auditoria. A continuacin se eligen las acciones a auditar. Auditoria de Archivos: Botn derecho sobre el volumen de disco, Propiedades, Avanzada, Auditoria. A continuacin se eligen los usuarios y grupos a auditar y, por ltimo, se eligen las acciones a auditar. Auditoria de Impresoras: Panel de Control, Impresoras, Botn derecho sobre la impresora a auditar, Propiedades, Seguridad, Avanzadas, Auditoria. A continuacin se eligen los usuarios y grupos a auditar y, por ltimo, las acciones.
Fundacin Tomillo
20
Fundacin Tomillo
21
Fundacin Tomillo
22
ANEXO
A.1. Arquitectura de un sistema basado en mquinas virtuales. De forma general una mquina virtual es un programa que emula el hardware de un ordenador y permite ejecutar programas, incluidos sistemas operativos, como si fuese un ordenador real. Para disponer de varias mquinas u ordenadores sobre un ordenador real, en primer lugar hay que instalar un sistema operativo sobre la mquina real, a este sistema operativo se le denomina Sistema operativo anfitrin. En este sistema anfitrin se instala el programa que permite crear diferentes mquinas virtuales, cuyo hardware ha de estar sustentado por el hardware real. El programa, de forma general, se denomina sistema de virtualizacin o, simplemente, virtualizador. El virtualizador crea, soporta y administra diferentes mquinas virtuales, cuyo hardware suele ser una copia aislada del hardware real. Las mquinas virtuales se comportan a todos los efectos como las mquinas reales, de hecho la primera tarea a realizar es instalar un sistema operativo real en cada mquina virtual. A estos sistemas operativos, para diferenciarlos del anfitrin, se les denomina sistemas operativos invitados. Una caracterstica esencial de las mquinas virtuales es que los procesos que ejecutan estn limitados por los recursos y abstracciones proporcionados por ellas. Estos procesos no pueden escaparse de los ordenadores virtuales.
Fundacin Tomillo
23
A.2. Entornos de aplicacin. En general, los usos ms tpicos de las maquinas virtuales estn orientados a la capacidad de aprovechar al mximo el hardware disponible , reducir el espacio fsico que ocupan los ordenadores y la portabilidad de las mquinas virtuales, lo cual supone claras ventajas a mltiples niveles. Uno de los usos domsticos ms extendidos de las mquinas virtuales consiste en ejecutar sistemas operativos para probarlos. De esta forma se puede ejecutar un sistema operativo bajo prueba (Linux, por ejemplo) desde nuestro sistema operativo habitual (Windows por ejemplo) sin necesidad de instalarlo directamente en el ordenador y sin miedo a que se desconfigure el sistema operativo anfitrin. Los principales usos de las maquinas virtuales en entornos corporativos se detallan a continuacin: Consolidacin de servidores: Convertir muchos servidores fsicos en virtuales. De este modo se aprovecha el hardware disponible de la mejor manera posible, se facilita la administracin, se reducen costes de hardware y costes de mantenimiento. Adems las infraestructuras necesarias para construir y mantener el Centro de Proceso de Datos es mucho menor por las siguientes causas: - Reduccin del nmero de mquinas fsicas. - Menor consumo elctrico. - Menor disipacin de calor. - Menor cantidad de cableado de comunicaciones al reducirse el nmero de conexiones fsicas de los servidores. Recuperacin ante desastres: Las maquinas virtuales se pueden salvar muy fcilmente de un desastre ya que uno o varios archivos representan a la mquina real y el contenido de sus dispositivos de almacenamiento. Adems su estado se puede almacenar, por lo que en caso de desastre se puede recuperar la informacin con enorme rapidez. Prueba de aplicaciones: En muchas ocasiones se necesita un entorno limpio para probar una aplicacin. Usar una maquina virtual permite instalar un sistema operativo desde cero, probar la aplicacin y luego eliminar la mquina. Ejecucin de entornos completos sin instalacin ni configuracin. La posibilidad de disponer de mquinas virtuales ya instaladas y con todo el software necesario configurado hace que no se pierda el tiempo en realizar las tareas de instalacin y configuracin de dicho software. Aplicaciones porttiles. Con el uso de las maquinas virtuales se pueden tener PCs completos listos para usar en dispositivos USB, Io que puede ser de mucha utilidad para tener un entorno privado y usarlo en cualquier PC.
Fundacin Tomillo
24
A.3. Soluciones disponibles. Los productos de virtualizacin ms populares hoy en da son: Microsoft Virtual PC, VMWare y VirtualBox. Microsoft Virtual PC: Suite de virtualizacin de Microsoft para Windows y para MacOS. Virtual PC emula un PC estndar y todo el hardware asociado. VMWare: Un completo conjunto de aplicaciones de virtualizacin, con herramientas de pago orientadas a la empresa y otras gratuitas ms orientadas al uso personal. Hasta hace poco tiempo solo se ofreca de manera gratuita la aplicacin VMWare Player, que permita ejecutar distintas mquinas virtuales ya creadas y que se podan descargar desde Internet. Desde fechas recientes se ofrece tambin de manera gratuita VMWare Server, que permite no slo ejecutar mquinas ya creadas sino crear las mquinas desde el comienzo. VirtualBox: una herramienta desarrollado por Sun Microsystems (hoy Oracle) para Windows y para Linux (la versin para MAC actualmente est en desarrollo en fase pre-alfa) liberada bajo licencia GPL y con un rendimiento similar al de otras aplicaciones como Virtual PC o VMWare. A continuacin se relacionan, en formato de comparativa, las caractersticas principales de los tres productos.
Facilidad de instalacin Los tres productos se instalan de manera muy sencilla mediante un asistente. VirtualBox y Virtual PC se instalan rpidamente. Sin embargo, VMWare server tarda bastante tiempo en instalarse y dependiendo de la mquina puede llegar a tardar ms de media hora.
Sistemas operativos anfitriones soportados VirtualBox: Windows, Linux VMWare server: Windows, Linux Virtual PC 2007: Windows, MacOS
Sistemas operativos invitados soportados VirtualBox: DOS, Windows, Linux, OS/2, OpenBSD, FreeBSD, Netware, Solaris. VMWare server: DOS, Windows, Linux, FreeBSD, Netware, Solaris, Virtual Appliances. Virtual PC 2007: DOS, Windows, OS/2.
Facilidad de creacin de mquinas virtuales VirtualBox: Fcil. VMWare server: Fcil. Virtual PC 2007: Fcil.
Existencia de mquinas virtuales disponibles en Internet VMWare server dispone de las llamadas Virtual Appliances, que son mquinas virtuales preconfiguradas y listas para ser usadas. En Internet se pueden encontrar muchas y de muchos tipos.
Fundacin Tomillo
25
Integracin con el sistema operativo anfitrin: display, carpetas compartidas, drag&drop Los tres sistemas disponen de herramientas que permiten mejorar la integracin del sistema invitado con el anfitrin una vez instalado. En el caso de VMWare, se llaman VMWare Tools, y en el caso de Virtual PC, Virtual Machine additions. Tanto VMWare como Virtual PC permiten usar drag&drop y carpetas compartidas con el sistema anfitrin.
Capacidad de importar mquinas creadas con otras herramientas VMWare server es capaz de importar mquinas creadas con Virtual PC.
Rendimiento VirtualBox: Muy bueno. VMWare server: Muy bueno. Virtual PC 2007: Muy bueno si se le instalan las Virtual Machine Additions.
Si bien se podra afirmar que las tres aplicaciones son buenas soluciones de virtualizacin hay que tener en cuenta los siguientes aspectos para determinar la eleccin sobre cul utilizar. VMWare es el producto ms completo y dispone de la existencia de mquinas virtuales disponibles en Internet que agilizan el uso de las mquinas virtuales y por la cantidad de informacin que existe sobre ella en la red, si bien se trata de la nica aplicacin de pago. Virtual PC 2007 es una herramienta que no podr ser usada por los usuarios de Linux, si bien tiene un rendimiento muy elevado tanto con sistemas operativos anfitriones como con sistemas operativos invitados de Microsoft. Adems es gratuito. Virtual BOX es una solucin muy compensada al permitir sistemas operativos invitados Windows y Linux, y es gratuita, si bien su rendimiento es algo menor.
Fundacin Tomillo
26
A.4. Creacin y administracin de mquinas virtuales. El proceso de trabajo con sistemas virtuales es similar independientemente del producto elegido, si bien WMWare Server viene ya con un sistema operativo anfitrin incorporado (Linux). El proceso de forma general consiste en: (1) Instalar el Sistema operativo anfitrin. (2) Instalar la aplicacin de Virtualizacin. (3) Crear las mquinas virtuales. (4) Instalar los sistemas operativos invitados en las mquinas virtuales. En este epgrafe vamos a describir los pasos (2), (3) y (4) utilizando VirtualBOX sobre un sistema operativo anfitrin Windows. Una vez descargado el programa desde la Web de Sun Microsystems lanzamos su instalacin.
Como suele ser habitual en la mayora de los procesos de instalacin de los programas, tras el mensaje de bienvenida en el que se informa de la versin del programa, un asistente gua todo el proceso de instalacin. Como tambin suele ser habitual el primer paso consiste en la aceptacin de la Licencia de utilizacin.
Acto seguido el asistente de instalacin muestra la ventana ms importante del proceso. En ella hay que seleccionar los componentes que se desean instalar: VirtualBox Apllication: El programa de virtualizacin. VirtualBox USB Support: Soporte para utilizar dispositivos de almacenamiento USB en las mquinas virtuales. VirtualBox Networking: Componentes de red para que los sistemas invitados utilicen las comunicaciones fsicas.
Por defecto el programa se instala en Archivos de Programa\Sun\VirtualBox (se puede cambiar pulsando en el botn Browse).
Fundacin Tomillo
27
Al pulsar en Next se procede al proceso de copia y configuracin del programa. Llegado este punto finaliza la instalacin del software de virtualizacin (Paso 2). Es el momento de comenzar la creacin de las mquinas virtuales que soportarn los sistemas operativos invitados (Paso 3). En primer lugar hay que iniciar la consola de VirtualBox desde el escritorio. Se trata de una consola de administracin muy sencilla: En la parte izquierda se encuentran las mquinas virtuales, en la parte derecha el hardware de la mquina virtual seleccionada en la parte izquierda, y en la zona superior los tpicos accesos mediante mens e iconos de acceso directo. Para crear una nueva mquina virtual simplemente hay que pulsar en el icono Nueva. El programa responde ejecutando un asistente de creacin de mquinas virtuales.
En primer lugar se solicita nombre para la mquina y el Sistema operativo invitado: Esta opcin la utiliza para seleccionar un icono que referencie al sistema y para sugerir la memoria y el disco recomendado. No obstante hay que tener presente que posteriormente se pueden modificar los valores sugeridos en funcin del sistema operativo invitado seleccionado. Una vez seleccionado el sistema se procede a ajustar los valores hardware, comenzando por la memoria.
Fundacin Tomillo
28
En funcin del sistema elegido se toma un valor inicial, valor que se puede ajustar a travs de una barra de desplazamiento o directamente de forma numrica (ver imagen adjunta). Evidentemente el lmite es la cantidad de memoria fsica disponible, esto es la memoria total menos la utilizada por el sistema operativo anfitrin.
A continuacin se procede a la creacin y configuracin del disco duro virtual. En este caso hay que tener presentes varias cuestiones: (1) Se puede crear o utilizar un disco existente creado con otra mquina virtual. (2) Los discos pueden tener tamao esttico (siempre el mismo) o bien dinmico (el disco ocupa solo el espacio realmente utilizado).
(3) En la ventana de seleccin de tamao y localizacin (ver imagen adjunta) se ha de indicar el nombre del disco, el directorio fsico donde quedar alojado el disco (por defecto lo almacena en el perfil del usuario activo en el sistema anfitrin) y el tamao. Tambin en este caso es obvio que el lmite es el espacio libre resultante en el disco duro fsico. (4) Por cada disco virtual se genera un archivo en el disco duro fsico. Pulsando en Siguiente finaliza la instalacin del disco duro virtual.
mquina
est
El asistente muestra los parmetros introducidos antes de confirmar la creacin (botn Terminar).
Fundacin Tomillo
29
A partir de este momento hay un acceso a la mquina creada en la parte izquierda de la consola y se pueden gestionar sus recurso en la parte derecha (ver imagen inferior). Antes de arrancar la mquina virtual hay que tener presente el paso siguiente a realizar: Instalar el sistema operativo invitado. Los programas de virtualizacin permiten utilizar soportes fsicos (CD / DVD) o imgenes ISO de los soportes.
VirtualBOX dispone de una consola de gestin de medios (discos duros e imgenes ISO). Para trabajar con soportes fsicos se procede con los discos CD/DVD al igual que en las mquinas reales.
Para trabajar con imgenes ISO primero hay que tenerlas almacenadas en el disco fsico y agregarlas a la consola de gestin de medios. Despus hay que editar el hardware virtual de la mquina para que asocie la imagen ISO seleccionada a un dispositivo de almacenamiento. Por ltimo solo queda encender la mquina virtual (doble click sobre su icono) y proceder de forma anloga a la instalacin de un sistema operativo en una mquina real (Paso 4).
Fundacin Tomillo
30
TRABAJO DE LABORATORIO
Partiendo del ordenador del laboratorio se pide crear una estructura basada en un entorno HyperV. Los elementos principales de la estructura sern tres ordenadores con Windows 2008 Server que desempearn los roles de servidor Central servidores de delegaciones, y cuatro estaciones Windows XP que desempearn el rol de estaciones, dos en cada delegacin. Se han de realizar todas las acciones que se consideren necesarias, tanto en las mquinas virtuales como en los sistemas operativos Windows 2008 Server y Windows XP Profesional. El entorno en el que se ha de desplegar la administracin del sistema quedan definidos en el esquema estructural y la tabla donde se indican los datos necesarios para la implementacin:
Tomillo.lan
Departamento Flix Gmez Garca Teodoro Snchez Lpez Amanda Ruano Ortega Matilde huertas Nuncio Cristiano Vilches Rodrguez Ascensin Gracia Garca Elosa Baos Renta Anastasio Guindas Lpez David Armando Guerra Santiago Risto Gmez Ginebra Martn Lpez Juan Luque Minaya Patricio Estrella Salinas Administracin Administracin Administracin Tcnico Tcnico Tcnico Tcnico Comercial Comercial Comercial Comercial Direccin Direccin
Turno Maana Maana Tarde Maana Maana Tarde Mixto Maana Maana Tarde Tarde Maana Mixto
Nombre inicio sesin fgg tsl aro mhn cvr agg ebr agl dag srg gml jlm pes
Puesto Jefe Trabajador Trabajador Jefe Trabajador Trabajador Trabajador Jefe Trabajador Trabajador Trabajador Jefe Trabajador
Notas
Turno de Maana 8:00 a 16:00 lunes a viernes Turno de Tarde 15:00 a 23:00 lunes a viernes Turno Mixto 10:00 a 16:30 lunes a sbado
Fundacin Tomillo
Tarea Previa: Configurar el direccionamiento IP de todas las mquinas para que se alcancen en una red privada Hyper-V.
Tarea 1. Convertir el servidor central en Controlador de dominio (Tomillo.lan) de nivel funcional Windows 2008 Server, servidor de archivos, y servidor DNS. Tarea 2. Convertir los servidores de las delegaciones en RODCs y servidores DHCP. Tarea 3. Integrar las 4 estaciones Windows XP en el dominio comprobando su funcionamiento. Su configuracin IP se realizar de forma dinmica. Tarea 4. Crear cuentas de usuario teniendo en cuenta los siguientes aspectos: Los usuarios podrn iniciar sesiones en cualquiera de las tres estaciones. Nombre de inicio de sesin: Nombre + inicial primer apellido + inicial segundo apellido Se ha de registrar el nombre completo de usuario. Slo podrn iniciar sesin en las horas indicadas en la tabla en relacin a los turnos.
Tarea 5. Crear grupos, uno por departamento, teniendo en cuenta que cada grupo tendr como miembros los usuarios de su departamento. Tarea 6. Crear Unidades Organizativas teniendo en cuenta los siguientes aspectos: Habr una por departamento. Contendrn los grupos y usuarios correspondientes. Tarea 7. Establecer un sistema de cuotas de disco para todos los usuarios, en el caso de los jefes ser de 500 MB mientras que la cuota para los trabajadores ser de 100 MB. Tarea 8. Tareas Programadas. - Programar un reinicio del ordenador todos los domingos a las 23:00. Motivo: Planificacin de mantenimiento de aplicaciones. Dar dos minutos de margen para abortar el reinicio. - Programar los das 1 de cada mes a las 0:00 una desfragmentacin del sistema de almacenamiento del Controlador de Dominio. Tarea 9. Definir GPOs. - Deshabilitar la cuenta del Administrador local en las estaciones de la sucursal 1. - Obligar a los usuarios del departamento comercial a cambiar la contrasea cada 30 das y que no sea igual que la ltima utilizada.
Fundacin Tomillo
ii