Embed Size (px)
Citation preview
Unidad Didáctica 4: Windows 2003 Server
1. Introducción Windows 2003 Server1.1 .NET Framework1.2 Funciones de administración de Windows 2003 Server1.3 Active Directory1.4 Sistemas de archivo y almacenamiento
2. Planificación e instalación Windows 2003 Server2.1 Instalación modo nativo frente a instalación modo mixto2.2 Instalación
2.2.1 Requisitos del sistema2.2.2 Particiones de disco2.2.3 Modos de licencia2.2.4 Grupo de trabajo frente a dominio2.2.5 Pasos para la instalación.
3. Administración en equipo local3.1 Los usuarios3.2 Los grupos
4. Active Directory4.1 Definición de Active Directory4.2 Elementos estructurales de Active Directory4.3 Administración y uso de Active Directory
4.3.1 Planificación de la estructura lógica4.4 Instalación de Active Directory
4.4.1 Creación de un nuevo Dominio o Dominios raíz4.4.2 Agregar un controlador de dominio a un dominio existente4.4.3 Agregar Dominio secundario4.4.4 Agregar un árbol a un bosque existente
4.5 Relaciones de confianza
5. Cuentas de Grupos y de Usuarios en Active Directory5.1 Administración en un Dominio5.2 Administración de los usuarios de un Dominio5.3 Administración de los grupos5.4 Perfiles de usuario
6. Directivas de Grupos6.1 Conceptos sobre Directiva de Grupo6.2 Administración de las Directivas de Grupo6.3 Parámetros de las Directivas de Grupo
7. Administración de impresión7.1 Instalación de una impresora7.2 Configuración de una impresora7.3 Administración del servidor de impresión
8. Servidor DHCP8.1 Introducción DHCP8.2 Instalación servidor DHCP
9. Comunicación mediante red privada virtual (VPN)9.1 Introducción a VPN9.2 Configuración de la red privada virtual (VPN)
1
1. Introducción Windows 2003 ServerWindows 2003 Server es una actualización del sistema operativo anterior (Windows 2000
Server), que un nuevo Sistema Operativo. Igual que Windows 2000, Windows 2003 Server se basa en el sistema de comunicación TCP/IP. La diferencia fundamental es que Windows 2003 Server ha actualizado el marco .NET Framework, que ayuda a conducir el entrono Windows hacia un sistema operativo transparente, basado en servicios de Internet.
1.1 .NET FrameworkEste marco es un intento de transformar aplicaciones en servicios en línea que se pueden
utilizar en entornos de Internet o Intranet. Esta herramienta permite, entre otras funciones, las directivas de seguridad, de acceso al código, montajes de aplicación y servicios remotos. Toma las redes como una entidad global. La organización ya no sólo consiste en un grupo de usuarios que tienen que acceder a clientes y servidores.
1.2 Funciones de administración de Windows 2003 ServerUn administrador puede tener todas o algunas de las siguientes responsabilidades de
administración: Mantenimiento del sistema operativo : Consiste en que los procesos tengan un buen
funcionamiento, así como el de los servicios del sistema operativo. Posee herramientas de control, que ayudan a afinar el rendimiento de equipos individuales, controladores de dominio y de servidores especializados.
Administración de usuarios y grupos : Con esta administración se puede añadir, modificar o eliminar cuentas de usuarios y directivas de grupo.
Administración del hardware y de dispositivos : Consiste en el funcionamiento correcto de los dispositivos, equipos y periféricos de las redes físicas
1.3 Active DirectoryCon Active Directory, dentro de Windows 2003 , todo se considera un objeto, incluyendo a
los usuarios, los equipos, los archivos y los elementos de las redes. Active Directory es la aplicación del sistema operativo (S.O) que administra todos los objetos, de un dominio, en una estructura jerárquica. Los administradores con permisos adecuados podrán agregar, eliminar, modificar y visualizar objetos y servicios en cualquier lugar dentro del dominio, árbol de dominio o bosque
1.4 Sistemas de archivos y almacenamientoLa administración, el almacenamiento de disco y copias de seguridad son un quebradero de
cabeza para los administradores de un sistema. Hay una serie de herramientas que facilitan estas tareas. Algunas son:
Compatibilidad de sistema : Windows 2003 tiene una compatibilidad a nivel básico con entornos de Windows anteriores. El sistema de archivo nativo es NTFS 5. Pero también soporta sistemas de archivos FAT32.
Utilidad de cuotas de disco : Se pueden crear cuotas de disco para limitar el almacenamiento de un usuario y poder controlar el estado de dichos límites.
2. Planificación e instalación de Windows 2003 Server
2.1 Instalación modo nativo frente a modo mixto Windows 2003 Server presenta dos modos primarios de instalación (Figura 1)
Modo nativo : En este caso todos los controladores de un domino o bosque utilizan exclusivamente Windows 2003
Modo mixto : Se utiliza cuando dentro de un dominio se utilizan controladores de Windows 2003 Server, Windows 2000 y Windows NT
2
Figura 1. Modos de instalación2.2 Instalación
2.2.1 Requisitos del sistemaPara realizar la instalación de Windows, el sistema debe cumplir unos requisitos. Estos
requisitos se muestran en la Tabla 1.
Elemento Requisito para Windows 2003
CPU Intel Pentium con velocidad mínima de 133 MHz
RAMUn mínimo de 128 MB. Un servidor servidor miembro requiere como mínimo 128 MB, mientras que un controlador de dominio necesita al menos 258 MB
Disco Duro Se necesita una partición de 1.5 GB como mínimo para archivos de sistema e intercambio. Para un uso en red debe ser un mínimo de 4 GB
Tarjeta Red Tarjetas adaptadores estándar
Visualización Una resolución mínima de VGA
Tabla 1. Requisitos del sistema para instalación de Windows 2003 Server
2.2.2 Particiones de discoWindows 2003 Server se debe instalar en una sola partición de disco. La partición de
disco debe ser mayor de 1 GB. Es bueno que las aplicaciones y los datos se coloquen en particiones (unidades) separadas. A la hora de instalar se debe elegir el sistema de archivo.
FAT y FAT32 : Son apropiados en entornos donde la seguridad no sea un problema y donde las apliacciones heredadas no soporten NTFS. FAT soporta particones menores de 2 GB. FAT32 soporta particiones superiores a 2 GB. Si se selecciona inicialmente FAT o FAT32 para la instalación de Windows, es posible migrar después a NTFS mediante el comando convert
NTFS: Es el que se selecciona por norma general, ya que soporta todo el conjunto de aplicaciones de seguridad, de compresión de archivos, cuotas, encriptación de archivos, etc. También es necesario en la aplicación de Active Directory.
3
2.2.3 Modos de licenciaWindows 2003 Server ofrece dos tipos distintos de licencia, que tienen sus
características propias:
Por modo de asiento : Permite un número indefinido de clientes de acceso simultáneo al servidor. Siempre que cada uno de ellos posea una licencia de acceso cliente (Figura 2). Es útil para organismos grandes
Figura 2. Modo asiento Por modo servidor : Se indica el número máximo de clientes que podrán
acceder de forma simultánea. Se paga una licencia para ese número máximo de clientes (Figura 3).
Figura 3. Modo Servidor
2.2.4 Grupo de trabajo frente a dominioSe debe decidir si el equipo se va a unir a un grupo de trabajo o a un dominio.
Grupo de Trabajo : Es una conexión lógica de equipos. Los sistemas no comparten una base de datos de seguridad. Los equipos sólo podrán compartir datos y dispositivos. Las bases de datos de seguridad se almacenan de forma local, por lo que las cuentas de usuarios se crearán en cada sistema. Este modelo se usa en pequeñas empresas.
Dominio : Es un espacio de red que comparten una base de datos desde la que se pueden controlar todos los dispositivos unidos al dominio. El nombre de este espacio utiliza nomeclatura DNS. Para poder utilizar las funciones de control es necesario utilizar un controlador de dominio.
4
2.2.5 Pasos para la instalaciónLa primera parte de la instalación requiere trabajar en una serie de pantallas azules de
tipo carácter, en las que se decidirá:a) Instalar un nuevo sistema operativo o recuperar el existente.b) Elegir la partición en la que se instalará el sistema. LA partición debe
ser superior a 1.5 GBc) El sistema de archivos a utilizar FAT o NTFS. Por defecto el correcto
es el NTFS.d) El tipo de formateo a realizar en la partición elegida. Si el disco está
correcto, con un formateo rápido es válidoRealizado los pasos anteriores se copiarán los archivos necesarios para la instalación y
se reinicializará para pasar al asistente gráfico de la instalación. Este asistente presenta las siguientes pantallas:
a) Configuración regional: Se suele cambiar el idioma, la configuración local y del teclado
b) Nombre y Organización: Son datos meramente administrativos, indicando nombre de usuario responsable del sistema y organización a la que pertenece dicho sistema.
c) Modo de licencia: Se indica el tipo según la licencia que se posea.d) Nombre del equipo: El nombre del equipo puede ser de hasta 15 caracteres
y debe ser único en la red. Hay un nombre predeterminado que se puede aceptar o rechazar.
e) Contraseña de la cuenta de administración: Se debe introducir la contraseña de la cuenta de administración.
f) Componentes opcionales: Según el tamaño de partición y las necesidades del sistema se elegirán componentes adicionales a instalar.
g) Hora y fecha: Se realizan los ajustes necesarios en la zona horaria, hora y fecha.
h) Elementos de red: Se debe verificar la tarjeta del adaptador de la red. Confirmar el protocolo TCP/IP (si se configura manualmente y dejarlo automáticamente). Y da la posibilidad de crear un nuevo grupo de trabajo o unirse a un grupo de trabajo o dominio ya creado.
3. Administración en equipo local
3.1 Los usuariosEsta cuenta servirá para iniciar una sesión local en el equipo, de esta manera sólo se podrá
acceder a los recursos locales del equipo. Esta cuenta está almacenada en el directorio %systemroot%\system32\config. En un controlador de dominio, las cuentas y los grupos están almacenados en Active Directory
a) Cuentas predefinidas: Al instalar Windows 2003 Server se crearán las siguientes cuentas de usuario
Administrador: Es la persona o cuenta que posee el nivel de priviliegios más alto. Puede hacer las siguientes tareas:
- Directivas de seguridad- Cuentas de usuario y de grupo- Instalación y configuración de dispositivos.- Administrador de recursos compartidos.- Organización de datos en el disco duro
Por cuestiones de seguridad es bueno no mostrar el nombre del último usuario que haya abierto una sesión. Esto se realiza modificando la Directiva de grupo
Configuración del equipo Configuración de Windows
5
Configuración de seguridad Directivas locales
Opciones de seguridad Inicio de sesión interactivo: No mostrar el último nombre de usuario = Habilitado
Invitado: Esta cuenta la utilizan usuarios ocasionales o poco expertos. Los derechos sobre el sistema son mínimos
b) Creación de una cuenta de usuario: Se efectúa mediante la extensión Usuarios y grupos locales de la consola Administración de equipos. Se debe realizar los siguientes pasos:
1. Seleccionar el apartado Usuarios, y del menú Acción -> Usuario nuevo, de forma que creará una cuenta nueva. Se deben rellenar los siguientes capos.
- Nombre de usuario : Es el nombre (login) necesario para iniciar la sesión en el sistema
- Nombre completo : Es un dato administrativo, y es el nombre completo de la cuenta.
- Descripción : Igual que el anterior es un dato meramente administrativo y es una descripción relacionada con la cuenta que se está creando.
- Contraseña : Es la clave de acceso para poder iniciar sesión
Hay una serie de opciones con la que podemos darle propiedades a la cuenta y que actúen en el primer inicia de sesión. Estas opciones son:
- El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
- El usuario no puede cambiar la contraseña - La contraseña nunca caduca: Se utiliza para que la contraseña
siempre esté activa. De modo predeterminado las contraseñas caducan después de los 42 días de creada. Esta regla está definida en la Directiva de seguridad local o en la Directiva de seguridad de DominioConfiguración del equipo
Configuración de Windows Configuración de seguridad
Directivas de cuenta Directivas de contraseña
Vigencia máxima de la contraseña: 42 días- Cuenta deshabilitada: La cuenta no se elimina pero no se puede
acceder al sistema a través de esta cuenta deshabilitada
c) Modificación de una cuenta de usuario: Una vez creada la cuenta de usuario se podrá acceder a las propiedades de dicha cuenta. Estas propiedades están organizadas por fichas, donde cada una de ellas posee sus atributos a modificar. Estas ficha son:
General: Indica los parámetros definidos anteriormente. Miembro de: Permite conocer el grupo al que pertenece o integrarlo en un
grupo. Perfil: Indica la ruta del perfil de usuario. Entorno: Definir el comportamiento de la cuenta al conectarlo a un servidor
Windows. Sesiones: Se define los límites de la sesión al conectarlo con un servidor
Windows. Perfil de Servicios de Terminal Server: Permite indicar la ruta del perfil de
usuario y el directorio de trabajo del usuario.
6
Control remoto: Indica si el usuario puede abrir una sesión de forma externa a la red del Servidor.
Marcador: Permite configurar la manera en que se tratará esta cuenta durente los accesos remotos o VPN.
3.2 Los gruposa) Presentación: Los grupos se crean para simplificar la administración. Contienen un
conjunto de cuentas de usuario con necesidades identicas en términos de administración. De forma que un administrador podrá otorgar permisos al grupo en lugar de otorgarles a cada usuario de forma individual.
b) Grupos integrados: Al instalar Windows 2003 Server se crea un cirto número de grupos, ya predefinidos, que poseen derechos para realizar tareas en el equipo local. Alguno de estos grupos son:
Administradores: Pueden realizar todas las tareas administrativas. Sólo la cuenta administrador pertenece a este grupo. Cuando una estación de trabajo o servidor se integra en un dominio, el grupo global Administradores del dominio se integra automáticamente en el grupo local, para que el administrador de dominio pueda administrar todas las estaciones de trabajo del dominio.
Operadores de impresión: Pueden crear, administrar y compartir impresoras.
Operadores de configuración de red: Los miembros de este grupo tendrán los derechos de modificar todos los parámetros relacionados con la comunicación.
Usuarios: Todas las cuentas de usuarios que se creen formarán parte de este grupo de forma predeterminada. Sólo pueden realizar tareas que el administrador haya especificado, y tendrán acceso a los recursos a los que se les haya permiso. Cuando la estación de trabajo se integra en un dominio, el grupo global Usuarios del dominio se integra en este grupo local.
Usuarios avanzados: Los miembros de este grupo pueden ejecutar tareas administrativas sin poseer control total sobre el sistema
c) Creación de grupos: Se accede a la consola Administración de equipos. Seleccionar el apartado Grupos y luego en el menú Acción -> Grupo Nuevo. Dar nombre descriptivo del grupo que se quiere crear. Pulsar el botón Agregar para definir los miembros del grupo y pulsar Crear.
4. Active DirectoryPara realizar una buena administración del sistema es fundamental conocer la base conceptual
de Active Directory y como se gestiona.4.1 Definición de Active DirectoryEn palabras sencillas, Active Directory es un almacen de objetos y un servicio, basado en la
comunicación de red, que posee y administra recursos. Todo se considera objeto, ya sea usuario, servidores, estaciones de trabajo, dispositivos, documentos, etc. Cada objeto posee sus atributos y su propia lista de acceso (ACL) de seguridad. Los objetos se organizan mediante CONTENEDORES
4.2 Elementos estructurales de Active Directory
7
Los dos elementos principales de Active Directory son su estructura lógica y su estrunctura física.
a) Estructura lógica: Los elementos lógicos son los objetos y sus atributos. Los objetos se organizan mediante un modelo jerárquico de dominio. Cada dominio posee sus propios permisos de seguridad y unas relaciones de seguridad únicas con otros dominios. Los nombres de lso dominios se basan en una arquitectura DNS. La organización de la estructura lógica de forma descendente es la siguiente:
1. El bosque: Representa un conjunto de dominios relacionados entre ellos por relaciones de confianza bidireccionales o unidireccionales. Se caracteriza por la presencia de distintos dominios llamados Raíz (Figura 4), que el comienzo de una estructura en árbol.
Figura 4. Esquema Bosque y árbol
2. Los árboles: Un árbol de dominio es aquel en el que los nombres de los dominio dependen del dominio raíz (Figura 4) y se encuentran en espacios o niveles inferiores a éste.
3. Los dominios: Es la entidad base que utiliza Active Directory para realizar la organización de los objetos. De forma que todos estos objetos poseen un límite común de seguridad. Un dominio puede atravesar ubicaciones físicas.
4. Unidades Organizativas: Permite estructurar jerárquicamente un dominio con el fin de: - Organizar los distintos objetos.- Delegar el control de una parte del dominio.- Aplicar directivas comunes (Directivas de grupo)
La base de datos se encuentra en %windir%\NTDS\NTDS.DIT
b) Estructura Física: Se denominan Sitios. Representan mecanismos para la comunicación. Especialmente cuando hay lentitud en la red. Se pueden combinar libremente:
- Varios Dominios en uno o varios Sitios- Un Dominio se encuentra en uno o varios Sitios
8
4.3 Administración y uso de Active Directory4.3.1 Planificación de la estructura lógica
Planificar la estructura lógica se basa en el conocimiento de la propia organización que queramos controlar mediante Windows. En un marco centralizado, un único dominio puede cumplir con todos los requisitos y es más fácil de administrar. En entornos más grandes y descentralizados se requiere trabajar con múltiples dominios. La complejidad de la administración aumenta conforme crece el número de dominios y unidades organizativas. Un dominio se puede administrar mediante unidades organizativas. Al crear las unidades organizativas es bueno reflejar la estructura de la empresa, por ejemplo, el grupo de ventas podría ser una única unidad organizativa. Los recursos se pueden agrupar en unidades organizativas, por ejemplo, todas las impresoras de un dominio. De esta forma, es posible delegar un administrador para que gestione la unidad organizativa de las impresoras y otro para la unidad de las cuentas de usuario de grupo.
4.4 Instalación de Active DirectoryLa instalación de Active Directory se efectúa a partir de un servidor Windows 2003
miembro o autónomo. La instalación de Active Directory requiere una partición NTFS para almacenar el directorio de sistema compartido (SYSVOL). Se debe ejecutar el comando DCPROMO.EXE. Al iniciar la instalación tenemos la opción de crear árbol , bosque o dominio raíz, como se muestra en el esquema de la Figura 5. Veamos cada una de las posibles opciones:
Figura 5. Organigrama en la instalación de Active Directory
4.4.1 Creación de un nuevo Dominio o Dominio RaízLa primera vez que se instale Active Directory, creará un nuevo dominio (dominio raíz)
en un nuevo bosque. Después de ejecutar DCPROMO, se deben seguir los siguientes pasos: Seleccione Controlador de dominio para un dominio nuevo y
haga clic en el botón Siguiente
9
Seleccione Dominio en un nuevo bosque y haga clic en el botón Siguiente.
Escriba el Nombre DNS para su dominio (por ejemplo electronica.org) y haga clic en el botón Siguiente.
Escriba el Nombre NetBIOS del dominio. De modo predeterminado, el proceso de instalación propone los primeros caracteres del nombre DNS, en el límite del primer punto o con una longitud de 15 caracteres. Haga clic en el botón Siguiente
Indicar la ruta para almacenar los datos correspondientes a Active Directory. De modo predefinido, se propone %systemroot%\NTDS para el almacenamiento de la base de datos y para los registros de log. Se pueden almacenar también en una partición FAT, FAT32 o NTFS. Para optimizar el rendimiento de su servidor, puede colocar en discos distintos la base de datos y los registros de log. Haga clic en el botón Siguiente.
Entre la ruta para la carpeta Volumen del sistema (Sysvol). Esta carpeta debe estar obligatoriamente en una partición NTFS. Contiene la definición de las directivas de grupos, las secuencias de comandos e informaciones de replicación. Haga clic en el botón Siguiente
Windows 2003 intenta detectar un servidor DNS que administre la zona que contiene el nombre de dominio que se acaba de indicar. Si no encuentra Servidor DNS que administre la zona, Windows 2003 propone instalar el servicio DNS y configurarlo. (Instalar y configurar este equipo de manera que utilice este servidor DNS como el predefinido). Haga clic en el botón Siguiente.
En este paso indicamos el modo de instalación. Modo nativo o modo mixto. Si no hay más servidores de Windows NT se debe elegir Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 o Windows Server 2003. Haga clic en el botón Siguiente.
Escribir una contraseña y su confirmación para el modo de restauración de la base de directorios. Al iniciar Windows 2003, sin cargar la base de directorios para restaurarla, a partir de una copia de seguridad nos debemos conectar como administrador con la contraseña indicada en esta ventana. Es bueno que la contraseña indicada sea la misma que la asignada a la cuenta administrador. Esta contraseña puede modificarse con el comando Set DSRM Password de la utilidad NTDSUTIL.exe. Hacer clic en el botón Siguiente.
Comprobando la información dada por la ventana Resumen hacemos clic en el botón Siguiente. Comenzará la instalación de Active Directory.
4.4.2 Agregar un controlador de dominio a un dominio existenteUna vez que se ha creado un dominio se pueden agregar nuevos controladores de
dominio a este último. Se aconseje disponer de un mínimo de dos controladores de dominio para asegurar la tolerancia a fallos y el balance de carga. . Para agregar un nuevo controlador de dominio se debe instalar previamente Windows 2003 Server en un nuevo equipo miembro o autónomo. Comprobar la configuración TCP/IP y especialmente que posea la IP del servidor DNS que conozca la zona DNS correspondiente al dominio al que queremos agregar el controlador. Los pasos son los siguientes:
Ejecute dcpromo.exe. Selecciones Controlador de dominio adicional para un
dominio existente
10
Indicar el dominio, el nombre y la contraseña de una cuenta que disponga de derechos para agregar un controlador al dominio, por ejemplo la del administrador
Indicar el nombre DNS del dominio del que su servidor será controlador ( el nombre NetBIOS se tomará a partir del dominio existente)
Indicar la ruta para la base de datos de directorio y para los registros. Es conveniente dejar la que viene por defecto.
Indicar la ruta para el volumen de sistema compartido. Indicar la contraseña para la cuenta administrador si inicia en modo
restauración. Comienza la duplicación de la base de directorio Active Directory. Reinicar
el equipo una vez terminada la operación.
4.4.3 Agregar un Dominio secundarioLa creación de un dominio secundario se efectúa después de haber creado un dominio
raíz o principal (los dominios principales y secundarios se encuentran en el mismo árbol). Por ejemplo para el dominio raíz creado anteriormente (electronica.org) se creará un dominio secundario (aula212.electronica.org)
Ejecute dcpromo.exe. Selecciones Controlador de dominio para un dominio nuevo Seleccione Dominio secundario de un árbol de dominios
existente. Indicar el dominio, el nombre y la contraseña de una cuenta que forme parte
del grupo administrador de organización. Este grupo está situado en el dominio raíz y otorga a sus miembros derechos de modificación en todo el bosque
Indicar el nombre DNS del dominio principal del que su dominio será un dominio secundario, así como el nombre de su dominio secundario.
Indicar el nombre NetBIOS para el nuevo dominio. Indicar la ruta para la base de datos de directorio y para los registros. Es
conveniente dejar la que viene por defecto. Indicar la ruta para el volumen de sistema compartido. Especificar si utiliza o no servicios que funcionan en sistema NT 4.0
4.4.4 Agregar un árbol a un bosque existenteAgregar un árbol a un bosque existente servirá para crear un nuevo espacio de nombres
contiguos. Por ejemplo, acaba de fusionarse con una empresa que posee un nombre de dominio DNS registrado en Internet. Su empresa desea conservar su espacio de nombres, que también está registrado. En ese caso será interesante crear un nuevo árbol en el bosque
Ejecute dcpromo.exe. Selecciones Controlador de dominio para un dominio nuevo Seleccione Árbol de dominio en un bosque existente. Indicar el dominio, el nombre y la contraseña de una cuenta que forme parte
del grupo administrador de organización del dominio raíz Indicar el nombre DNS para el nuevo árbol. Indicar el nombre NetBIOS para el nuevo dominio. Indicar la ruta para la base de datos de directorio y para los registros. Es
conveniente dejar la que viene por defecto. Indicar la ruta para el volumen de sistema compartido. Especificar si utiliza o no servicios que funcionan en sistema NT 4.0
4.5 Relaciones de confianzaLas relaciones de confianza se crean para que objetos de un dominio, árbol o bosque
accedan a recursos de otro dominio, árbol o bosque. Las relaciones de confianza pueden ser
11
bidireccionales o unidireccionales. Y estos posibles tipos de relaciones se pueden hacer de dos formas:
Confianza explícita: Esta relación se denomina explícita porque el administrador de cada dominio debe crearla explícitamente. Si por ejemplo, el administrador de A establece una confianza para el dominio B, el administrador del Dominio B debe permitirla. A continuación a los usuarios y grupos del Dominio B se les puede conceder permiso a los recursos del Dominio A (Figura 6).
Figura 6. Esquema de relación confianzaPodemos realizar confianza entre distintos dominios (Figura 7). El hecho de establecer una confianza del Domino A al Dominio B, y del Dominio B al Dominio C, no establece una confianza del Dominio A al Dominio C, por lo tanto estas relaciones no son transitivas. Estas relaciones se realizan para establecer confianza entre árboles
Figura 7. Esquema relaciones confianza entre dominios
Confianza transitiva: Es una confianza que se crea entre los dominios del mismo árbol o entre los árboles del mismo bosque. Cuando se crean domino secundario, se establece una relación transitiva bidireccional entre el dominio raíz y el dominio secundario.
Veamos los pasos para crear dominios explícitos ya sea bidireccional o unidireccional:
12
Relación de confianza explícita bidireccional: Se muestra en la Figura 8 el esquema que se tendría de esta relación y los pasos a seguir son:
Figura 8. Esquema Relación confianza bidireccional
a) Abrir la aplicación Dominios y confianza de Active Directory del Dominio A
b) Pulsar el botón derecho del ratón en el dominio que se desee administrar y, a continuación, hacer clic en Propiedades y en la ficha confía
c) Hacer clic en Dominios de confianza para este dominio (confianza de salida) y en Nueva confianza. Indicar el Domino B
d) Hacer clic en Dominios que confían en este dominio (confianza de Entrada) y en Nueva confianza. Indicar el Domino B
e) Abrir la aplicación Dominios y confianza de Active Directory del Dominio B
f) Pulsar el botón derecho del ratón en el dominio que se desee administrar y, a continuación, hacer clic en Propiedades y en la ficha confía
g) Hacer clic en Dominios de confianza para este dominio (confianza de salida) y en Nueva confianza. Indicar el Domino A
h) Hacer clic en Dominios que confían en este dominio (confianza de Entrada) y en Nueva confianza. Indicar el Domino A
Relación de confianza explícita unidireccional: Se muestra en la figura 9 el esquema que tendría esta relación y los pasos a seguir son:
Figura 9. Esquema relación confianza unidireccional.i) Abrir la aplicación Dominios y confianza de Active
Directory del Dominio A
13
j) Pulsar el botón derecho del ratón en el dominio que se desee administrar y, a continuación, hacer clic en Propiedades y en la ficha confía
k) Hacer clic en Dominios de confianza para este dominio (confianza de salida) y en Nueva confianza. Indicar el Domino B
l) Abrir la aplicación Dominios y confianza de Active Directory del Dominio B
m) Pulsar el botón derecho del ratón en el dominio que se desee administrar y, a continuación, hacer clic en Propiedades y en la ficha confía
n) Hacer clic en Dominios que confían en este dominio (confianza de Entrada) y en Nueva confianza. Indicar el Domino A
5. Cuentas de Grupos y Usuarios en Active Directory5.1 Administración de un Dominio
Toda persona que utilice la red, debe poseer una cuenta de usuario de Dominio para conectarse al dominio y poder tener acceso a los recursos de la red. Estas cuentas se crean la base de directorios de Windows 2003.
Cuando un usuario se conecta al dominio, la información de inicio de sesión se envía a un controlador de dominio, que la compara con la base de directorios de Windows 2003. Una vez validado el inicio de sesión, el usuario tiene acceso a todos los recursos de las red con sus derechos y permisos
a) Estructura básica de un dominio: La administración de los usuarios, de los grupos y de los equipos del dominio se efectúa mediante la consola Usuarios y equipos de Active Directory (DSA.MSC). Al ejecutar esta consola se puede apreciar una estructura jerárquica. La raíz de esta estructura jerárquica está representada por el nombre del dominio electronica.org. Se pueden ver como mínimo todos los elementos que se encuentran en el árbol. Algunos están ocultos, pero se pueden visualizar mediante el menú Ver – Características avanzadas. Se pueden ver los siguientes elementos:
5. Buitin: Es un contenedor de sistema que contiene todos los grupos locales predefinidos. No se pueden ni mover, ni eliminar grupos originales.
6. Computers: Este contenedor alberga todas las cuentas de los equipos miembros del dominio, exceptuando a los controladores de dominio.
7. Domain Controllers: Es una unidad organizativa, que contiene las cuentas de los equipos de todos los controladores de un mismo dominio
8. ForeingSecurityPrincipals: Se alberga las referencias de seguridad (SID) utilizadas por las relaciones de confianza con dominios internos y externos al bosque.
9. LostAndFound: Solo contiene objetos “huerfanos”. Es un lugar de almacenamiento para los objetos que ya no contienen un contenedor.
10. Program Data: Acoge las particiones de aplicaciones y puede contener todo tipo de objeto.
11. System: Alberga muchos objetos necesarios para el sistema, como los vínculos de Directivas de Grupo, las zonas DNS integradas, las Directivas de Seguridad IP…
12. Users: contiene de forma predeterminado los grupos y las cuentas de usuarios. Se aconseja no dejar estas cuentas en este contenedor, sino moverlas hacia una unidad organizativa representativa.
La administración de dominio se encarga principalmente: De su propia estructura, constituida por unidades organizativas (OU),
usuarios, grupos, equipos, impresoras,…
14
De los contenedores Users y Computers para mover los objetos hacia su OU representativa
De las directivas de grupo que se hayan definido en su propia estructura.
5.2 Administración de los usuarios de un Dominio
a) Cuentas predefinidas: Como se indicó en la administración del equipo local existen varias cuentas y grupos predefinidos en la base de Active Directory. Por defecto se encuentran las cuentas Administrador e Invitado. La cuenta Administrador se encuentra en varios grupos: Administradores: Para las necesidades administrativas locales del
controlador de dominio. Administradores del dominio: Para las necesidades administrativas de
todos los equipos miembros del dominioSi hablamos del primer controlador de dominio del bosque, el Admninistrador pertenece también a los siguientes grupos: Administradores de organización: Necesidades administrativas de todo el
bosque. Administradores de esquema: Necesidades de modificación del esquema
de Active Directory (concierne a todo el bosque)
b) Creación de una cuenta de usuario: Antes de crear una cuenta de usuario es bueno tener un estándar para crear el nombre de inicio de sesión, de forma que analizando dicho nombre, se pueda saber a qué usuario pertenece. Por ejemplo, se puede utilizar el primer carácter del nombre seguido del primer apellido para asignarle el nombre de inicio de sesión a un usuario. Si poseemos dos usuraos o más con la misma letra de inicio del nombre y el mismo apellido, se pasa a utilizar también la segunda letra del nombre. Si tenemos un usuario que se llama Pedro DURAN, otro Pablo DURAN y otro Antonio DURAN, los nombre de inicio que se crearán serán peduran, paduran y aduran. Para crear una cuenta de usuario se siguen los siguientes pasos: Se accede a la consola Usuarios y equipos de Active Directory. El
usuario se puede crear en cualquier contenedor o OU. Se elige el elemento en el que se desea crear y en el menú Acción – Nuevo – Usuario.
Opcionalmente se rellenan los campos Nombre, Iniciales, Apellidos. Son datos administrativos. Sus datos se copian automáticamente en el campo Nombre completo (que es obligatorio), que se puede modificar. Se debe rellenar el Nombre de inicio de sesión usuario, que es el identificativo que el usuario utilizará para iniciar sesión. Pulsar Siguiente
Dar la contraseña a la cuenta. Las opciones que se pueden asignar a la cuenta son:
- El usuario debe cambiar la contraseña en el siguiente inicio de sesión
- El usuario no puede cambiar la contraseña.- La contraseña nunca caduca.- La cuenta está deshabilitada.
Pulsar Siguiente y Finalizar
c) Propiedades de las cuentas de usuario: Estas propiedades nos sirven para modificar o definir las características de una cuenta. Seleccionar la cuenta y en el menú contextual o Acción – Propiedades. Se accede a una serie de fichas que son:
General y Dirección: Son los datos administrativos del usuario. Cuenta: Son parámetros de comportamiento de la cuenta. Estos parámetros
son:
15
- Restricciones horarias: Se definen límites horarios para autorizar a una cuenta iniciar sesión
- Restricciones de acceso: Se pulsa Inicio de sesión en y luego se agregan los nombres de los equipos desde los que se puede iniciar sesión
- Opciones de cuenta: Permite modificar los parámetros entrados en cuenta, como:
La contraseña nunca caduca El usuario debe cambiar la contraseña en el siguiente
inicio de sesión. El usuario no puede cambiar la contraseña Cuenta deshabilitada.
Dispone de otras opciones que son: La tarjeta inteligente es necesaria para un inicia de sesión
interactivo: Los usuarios se pueden autentificar con una tarjeta inteligente, si el equipo está equipado con un lector de tarjeta.
La cuenta es importante y no se puede delegar: Nadie puede utilizar la delegación de control con esta cuenta.
Se confía en la cuenta para su delegación: Utilizar esta opción si se quiere dar permiso al usuario para que pueda delegar tareas administrativas a otros usuarios.
Almacenar contraseña utilizando cifrado reversible: Se utiliza sis se tienen usuarios que trabajan con equipos Apple dentro de la red Windows 2003.
Usar tipos de cifrado DES para esta cuenta: Activar esta casilla si se queiere utilizar cifrado DES (soporta métodos IPSec, MPPE,..)
No pedir la autentificación Kerberos previa: Utilizar esta casilla si la cuenta utiliza otra versión del protocolo Kerberos.
- Caducidad de la cuenta: Se puede seleccionar la opción Fin de y a continuación elegir la fecha de caducidad.
5.3 Administración de los grupos de un Dominio
a) Tipos de Grupo: Los grupos sirven para simplificar la administración de las cuentas de usuario. Dispone de dos tipos de grupos:
Grupo de seguridad : Se emplea para administrar la seguridad de los recursos en el dominio.
Grupo de distribución : Se emplea, por ejemplo, para enviar mensajes de correo al resto dentro del dominio
Estos grupos especifican el ámbito que poseen las personas que tienen acceso a él. Hay tres tipos de ámbitos:
Grupo locales de dominio: Los miembros pueden pertenecer a cualquier dominio, aunque los permisos de grupo se asignan sólo a los recursos del dominio local (Figura 10).
16
Figura 10. Grupo local de dominio
Grupo global: Los miembros del grupo global pueden ser sólo del dominio local, aunque se les puede asignar permisos para acceder a recursos de cualquier dominio de confianza (Figura 11)
Figura 11. Grupo Global
Grupos Universales: .Los miembros de los grupos universales pertenecen a cualquier dominio y pueden tener permisos asignados para cualquier recurso de cualquier dominio de confianza. Sólo están permitidos en entornos modo nativo.
b) Metodología de uso de grupo: Según sea la utilización de estos grupos se tendrá una metodología. Designaremos cada elemento con un símbolo
A -> Cuenta de usuarioL -> Grupo LocalG -> Grupo GlobalU -> Grupo universalP -> Permisos
17
Los métodos son los siguientes: Método A, G, P: Las cuentas de usuarios se introducirán en un
grupo global y los permisos sobre este grupo. Es un método muy simple y se adapta a una arquitectura de dominio único. Se utiliza cuando el número de usuarios es bajo y las restricciones son pocas. A-> G <- P
Método A, L, P: Las cuentas de usuarios se introducirán en un grupo local y los permisos sobre este grupo. Es un método muy simple y se adapta a una arquitectura de dominio único. Se utiliza cuando el número de usuarios es bajo y las restricciones son pocas. A-> L <- P
Método A, G, L, P: En este caso se trata de incluir las cuentas de usuarios en un grupo global, este grupo global en un grupo local y los permisos asignarselos al grupo local. Es un método que se puede utilizar en un sistema de múltiples dominios y es compatible con las versiones de Windows NT4. A -> G -> L <- P
Método A, G, U, L, P: En este caso se trata de incluir las cuentas de usuarios en un grupo global, este grupo global en un grupo universal y el grupo universal en uno local. Los permisos asignarselos al grupo local. Es un método que se puede utilizar en un sistema de múltiples dominios. A -> G -> U-> L <- P
c) Grupos predeterminados: Indicaremos algunos de los grupos predeterminados que aparecen al instalar Windows 2003. Estos grupos los dividiremos en locales (Tabla 2) y globales (Tabla 3).
Grupo Nivel de permiso y acceso
AdministradoresControl total del sistema local con todos los derechos. Los miembros por defecto son los administradores de dominio, los administradores de la organización y las cuentas de administrador
Operadores de cuenta Administración de usuarios de dominio.
Ope. Copia seguridadArchivos de copia de seguridad y de restauración en el sistema local. Inicio de sesión y cierre del sistema. Las directivas de grupo pueden restringir estos permisos
Invitados Inicio de sesión y cierre limitados en el sistema localOpe. de impresión Administración de impresoras localesOpe. de Servicio Administración del sistema local
UsuariosEjecución de aplicaciones, acceso a impresoras, inicio de sesión, cierre y bloqueo, y la creación y modificación de grupos locales. Los usuarios del dominio son miembros por defecto
Tabla 2. Grupos locales predeterminados
Grupo Nivel de permiso y accesoAdministradores de dominio
Privilegios administrativos de búsqueda en todo los sistemas del dominio
Equipos de dominio Todos los equipos de dominioControladores de dominio
Todos los controladores de dominio
Invitados de dominio Miembro del grupo local de dominio InvitadosUsuarios de dominio Miembro del grupo local de dominio UsuariosAdministradores de Miembros del grupo Administradores de dominio para cada
18
organización dominio con privilegios y derechos en el ámbito del bosquePropietarios creadores de la directiva de grupo
Miembros con derecho a modificar la directiva de grupo
Administradores de esquema
Miembros con permiso para modificar el esquema de Active Directory
Tabla 3. Grupos globales predeterminados.
d) Creación de grupos: Los pasos a seguir para la creación de grupo son los siguientes:
Acceder a la consola Usuarios y equipos de Active Directory.
Seleccionar el contenedor o la OU don se quiere crear el grupo. Utilizar el menú Acción – Nuevo – Grupo Seleccionar el tipo de grupo (Seguridad o Distribución) y el
ámbito (Local, Global o Universal) Dar un nombre representativo al grupo. Hacer clic en Aceptar
Se puede acceder a las propiedades realizando un doble clic en el nombre del grupo. Si el dominio está en modo nativo se puede modificar el ámbito.
De grupo Global a Universal: Siempre que este grupo no sea miembro de otro grupo global.
De grupo Local a Universal: Siempre que un local no contenga otro grupo local.
Veamos tres fichas básicas: Miembros: Se puede visualizar, agregar o eliminar cuentas de
usuarios, equipos o grupos a este grupo. Miembros de: Permite mostrar la lista de los grupos de los que
forma parte e insertarlo en otro grupo. Administrador por: Indica la persona que posee la responsabilidad
administrativa sobre este grupo. Teniendo los datos de esta persona responsable.
También se puede crear el grupo mediante el siguiente comando:
DSADD GROUP cn=grupo; ou=unidad_organizativa; d=dominio
El conocer el grupo o los grupos a los que pertenece un usuario se puede realizar mediante el siguiente comando:
DSGET USER Nombreusuario -memberref
5.4 Perfiles de usuario
Un perfil es un entorno personalizado específicamente para un usuario. El perfil contiene la configuración de escritorio y de los programas del usuario. Cada usuario tiene un perfil, tanto si el administrador lo configura como si no, porque se crea un perfil automáticamente para cada usuario cuando inicia sesión en un equipo. Los perfiles ofrecen numerosas ventajas:
Múltiples usuarios pueden utilizar el mismo equipo, con la configuración de cada uno recuperada al iniciar la sesión al mismo estado en que estaba cuando cerró la sesión.
Los cambios hechos por un usuario en el escritorio no afectan a otro usuario. Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios a
cualquier equipo de la red que ejecute Windows 2003
19
Desde el punto de vista de un administrador, la información del perfil puede ser una valiosa herramienta para configurar perfiles de usuario predeterminados para todos los usuarios de la red o para personalizar los perfiles predeterminados para diferentes departamentos o clasificaciones del trabajo. También se pueden configurar perfiles obligatorios que permitan a un usuario hacer cambios en el escritorio mientras esta conectado, pero no guardar ninguno de los cambios. Un perfil obligatorio siempre se muestra exactamente igual cada vez que un usuario inicia sesión. Los tipos de perfiles son los siguientes:
Perfiles locales: Perfiles creados en un equipo cuando un usuario inicia sesión. El perfil es específico de un usuario, local al equipo y se almacena en el disco duro del equipo local.
Perfiles móviles: Perfiles creados por un administrador y almacenados en un servidor. Estos perfiles siguen al usuario a cualquier máquina Windows 2003 de la red.
Perfiles obligatorios: Perfiles móviles que sólo pueden ser modificados por un administrador.
Todos los perfiles comienzan como una copia del perfil Default User que esta instalado en cualquier equipo que ejecuta Windows 2003. La información del registro para Default User se encuentra en el archivo Ntuser.dat incluido en el perfil Default User. Dentro de cada perfil se encuentran las siguientes carpetas:
Configuración local: Datos de programa, Historial y Archivos temporales.
Cookies: Mensajes enviados a un navegador Web por un servidor Web y almacenados localmente para registrar información y preferencias del usuario.
Datos de programa: Configuraciones especificas de programa determinadas por el fabricante del programa además de configuración de seguridad especifica del usuario.
Entorno de red: Accesos directos a Mis sitios de red.
Escritorio: Archivos, carpetas, accesos directos del escritorio y su apariencia.
Favoritos: Accesos directos a ubicaciones favoritos, en particular sitios Web.
Impresoras: Accesos directos a elementos de la carpeta Impresoras.
Menú Inicio: Elementos del menú Inicio del usuario.
Mis documentos: Documentos del usuario y Mis imágenes, que contiene los archivos gráficos del usuario.
Plantillas: Plantillas de programas.
Reciente: Accesos directos a las carpetas y archivos más recientemente utilizados.
SendTo: Elementos del menú Enviar a.
De forma predeterminada, solo Cookies, Escritorio, Favoritos, Menú Inicio y Mis documentos son visibles en el Explorador de Windows. Las otras carpetas están ocultas; para verlas es necesario seleccionar Opciones de carpeta, pulsar en la pestaña Ver y seleccionar Mostrar todos los archivos y carpetas ocultos.
20
a) Perfiles locales: Los perfiles locales se crean en los equipos cuando los usuarios individuales inician sesión. En un equipo actualizado desde Windows NT 4, el perfil se almacena en la carpeta Perfiles de la partición raíz del sistema. En un equipo con una nueva instalación de Windows 2003, el perfil del usuario esta en la carpeta Documents and Settings. La primera vez que un usuario inicia sesión en un equipo, se genera una carpeta de perfil para el usuario, y los contenidos de la carpeta Default User se copian en ella. Cualquier cambio realizado por el usuario al escritorio se almacena en ese perfil de usuario cuando cierra la sesión. Si un usuario tiene una cuenta local en el equipo además de una cuenta de dominio a inicia sesión varias veces utilizando ambas cuentas, el usuario tendrá dos carpetas de perfil en el equipo local: una para cuando el usuario inicie sesión en el dominio utilizando la cuenta de usuario del dominio y otra para cuando el usuario inicie sesión localmente en el equipo. El perfil local se mostrará con el nombre de inicio de sesión. El perfil de dominio también se mostrara con el nombre de inicio de sesión, pero llevara añadido el nombre del dominio
b) Perfiles móviles: Los perfiles móviles son una gran ventaja para los usuarios que utilizan frecuentemente más de un equipo. Un perfil móvil se almacena en un servidor y, después de que el inicio de sesión del usuario sea autentificado en el servicio de directorio, se copia al equipo local. Esto permite al usuario tener el mismo escritorio, la configuración de las aplicaciones y la configuración local en cualquier máquina que ejecute Windows 2003. El funcionamiento del perfil móvil es asignar una ubicación de un servidor para perfiles de usuario y se crea una carpeta compartida con los usuarios que tengan perfiles móviles. Se introduce una ruta de acceso a esa carpeta en la ventana propiedades de los usuarios. La siguiente vez que el usuario inicie sesión en un equipo, el perfil del servidor se descarga al equipo local. Cuando el usuario cierra la sesión, el perfil se almacena tanto localmente como en la ubicación de la ruta de acceso al perfil del usuario. La especificación de la ruta de acceso al perfil del usuario es todo lo que hace falta para convertir un perfil local en un perfil móvil, disponible en cualquier parte del dominio. Cuando el usuario inicia sesión de nuevo, el perfil del servidor se compara con la copia en el equipo local y se carga para el usuario la más reciente. Si el servidor no esta disponible, se utiliza la copia local. Si el servidor no esta disponible y es la primera vez que el usuario ha iniciado sesión en el equipo, se crea un perfil de usuario localmente utilizando el perfil Default User. Cuando un perfil no es descargado a un equipo local a causa de problemas con el servidor, el perfil móvil no se actualiza cuando el usuario cierra la sesión.
Configuración de los perfiles móviles: Para configurar un perfil móvil simplemente hay que asignar una ubicación en un servidor y completar los siguientes pasos:
1. Crear una carpeta compartida en el servidor para los perfiles. 2. En la pestaña Perfil de la ventana Propiedades de la cuenta de usuario hay que
proporcionar una ruta de acceso a la carpeta compartida, como \\nombre_del_servidor\carpeta_de_perfiles_compartida\%username%.
Una vez que se ha creado una carpeta de perfiles compartida en un servidor y se ha suministrado una ruta de acceso al perfil en la cuenta del usuario, se ha habilitado un perfil móvil. La configuración del usuario de su escritorio se copia y almacena en el servidor y estará disponible para el usuario desde cualquier equipo. Sin embargo, la mayor parte del tiempo no se deseará que los usuarios tengan que arreglárselas solos. La vida es más fácil para ellos y para el administrador si se asigna un perfil personalizado a los usuarios que ya este configurado con los accesos directos, conexiones de red y elementos del menú Inicio apropiados. Para esto, será necesario configurar perfiles personalizados.
21
Asignación de secuencias de comandos de inicio de sesión a perfiles de usuario: Se pueden asignar secuencias de comandos de inicio de sesión por medio del perfil o a través de Directiva de grupo. Para asignar una secuencia de comandos a un perfil, hay que seguir estos pasos:
1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas.
2. En el árbol de la consola hay que pulsar Users. Seleccionar el usuario y en el menú Acción, escoger Propiedades.
3. Pulsar en la pestaña Perfil a introducir el nombre de la secuencia de comandos de inicio de sesión en el cuadro Archivo de comandos de inicio de sesión.
4. Pulsar Aceptar cuando se haya terminado.
Windows 2003 siempre busca las secuencia de comandos de inicio de sesión en el mismo lugar. Este lugar se encuentra en el controlador de dominio de autentificación en la ruta de acceso %SystemRoot%\SYSVOL\sysvol\nombre_del_dominio. Las secuencias de comandos de esta carpeta se pueden introducir en la ruta de acceso Archivo de comandos de inicio de sesión solo con el nombre. Si se utilizan carpetas dentro de la carpeta Scripts, se debe mostrar la parte de la ruta de acceso en la ruta de acceso Archivo de comandos de inicio de sesión. Las secuencias de comandos de inicio de sesión también se pueden crear en VBScript y Jscript. La replica de las secuencias de comandos de inicio de sesión a todos los controladores de dominio es automática en volúmenes NTFS en servidores Windows 2000. Otros tipos de archivos, como los archivos FAT, se deben replicar manualmente.Las variables de secuencias de comando de inicio de sesión son:
%homedrive%: Letra de la unidad de disco que contiene el directorio principal del usuario en la estación de trabajo local del usuario.
%homepath%: Ruta de acceso completa al directorio principal del usuario. %os%: Sistema operativo del usuario. %processor_architecture%: Tipo de procesador de la estación de trabajo del
usuario. %processor_level%: Nivel de procesador de la estación de trabajo del usuario. %userdomain%: Dominio donde esta definida la cuenta del usuario. %username%: Nombre del usuario de la cuenta.
c) Perfiles obligatorios: . Si se va a realizar todo el trabajo de asignar perfiles personalizados, indudablemente se deseara hacer que esos perfiles sean obligatorios. Un perfil obligatorio se puede asignar a múltiples usuarios. Cuando se modifica un perfil obligatorio, el cambio se realiza en los entornos de todos los usuarios a los cuales se haya asignado el perfil obligatorio. Para convertir un perfil en un perfil obligatorio, se debe renombrar el archivo oculto Ntuser.dat a Ntuser.man.
6. Directivas de Grupo
Con las directivas de grupo se permite un amplio control de la configuración del sistema y de los entornos de usuario. Estas directivas de grupo se puede aplicar a contenedores del dominio, unidades organizativas dando de esta forma, al administrador, mayor control granular sobre el sistema.
6.1 Conceptos sobre Directivas de grupo
22
A diferencia de los que indica su nombre, las directivas se aplican a los equipos, sitios, contenedores de dominio y OU, asignando los objetos necesarios a esas directivas. No se asignan directivas a grupos. Las directivas (GPO) se aplican a los contenedores (con un contenido de usuarios y equipos) de Active Directory. Los contenedores secundario heredan las directivas del primario. Windows 2003 sigue el modelo LSDDOU, donde la herencia se produce en el siguiente orden
Equipo local (L) -> Sitio (S) -> Dominio (D) -> Unidad Organizativa (OU)
El modelo LSDOU se muestra en la figura 12. Los GPO del equipo local son los primeros que se aplican a cualquier usuario que inicie sesión en este sistema. Pueden ser anulados por los GPO de los sitios asignados al usuario, los cuales son anulados por los GPO del dominio y éstos por los GPO de las Unidades Organizativas.
Figura 12. Herencia de directivas de grupo
a) Almacenamiento del objeto de la directiva de grupo: Las directivas de equipo local se almacenan en el sistema local en el directorio %SystemRoot%\system32\GroupPolicy. El almacenamiento de las GPO (Group Policy Object) de Active Directory es un poco más complicado y están almacenadas en dos ubicaciones distintas:
GPC (Group Policy Container): Representa los atributos de la GPO. GPC se puede ver accediendo a la consola Usuarios y equipos de Active Directory. Hacer clic en el menú Ver. Características avanzadas, para poder acceder a la carpeta System
23
GPT (Group Policy Template): Esta carpeta se encuentra almacenada en el directorio SysVol y representa un esquema de los parámetros aplicables en un GPO
Cuando se crea una directiva de grupo, se creará un objeto de Active Directory que se vinculará a un contenedor (OU, sitio o dominio). Un GPO puede estar vinculado a varios contenedores o vincular varios GPO a un contenedor (Figura 13):
Figura 13. Vinculación de GPO a los contenedores
De forma predeterminada posee dos objetos de directivas Defaul Domain Policy: Está vinculada a nivel de dominio. Los
parámetros definidos en esta directiva se aplican a todos los usuarios y equipos de dominio
Default Domain Controller Policy: Está vinculada a la O.U Domain Controller. Las directivas definidas aquí conciernen a las cuentas de esta O.U que es el controlador de dominio.
6.2 Administración de las directivas de grupo
Debido a que las directivas de grupo pueden aplicarse a nivel de un sitio, dominio o directamente a una unidad organizativa, es necesario utilizar dos consolas distintas:
Sitios y servicios de Active Directory : para aplicar GPO’s a nivel de un sitio. Usuario y equipo de Active Directory : donde se aplicará GPO’s a nivel de
dominio o de unidades organizativas.
a) Creación de una directiva de grupo: Los pasos para crear una directiva de grupo son los siguientes:
Abrir la consola Sitios y servicios de Active Directory o la consola Usuario y equipos de Active Directory (dependiendo del tipo de directiva que se quiera crear).
Seleccionar el contenedor (dominio o unidad organizativa) al que se desea aplicar una directiva de grupo. Luego utilice el menú Acción - Propiedades.
A continuación acceder a la ficha Directiva de Grupo. Si esta operación se efectúa en el dominio o en la unidad organizativa que contiene los controladores de dominio, debe visualizar los GPO’s predeterminados, mientras que en otros la lista está vacía.
Para crear una nueva directiva, se debe hacer clic en el botón Nuevo. Aparece una nueva directiva llamada, de modo predeterminado, Nuevo Objeto Directiva de Grupo. Se puede cambiar el nombre para que sea
24
más representativo. De hecho como varias GPO’s pueden afectar a un mismo contenedor, el nombre de la GPO debe ser representativo de las funciones que realiza.
b) Agregar una directiva de grupo: En este caso se vincula una directiva de grupo ya creada a un contenedor. Los pasos son los siguientes:
Seleccionar el contenedor al que se requiera aplicar el vínculo y luego utilizar el menú Acción - Propiedades. Hacer clic en la ficha Directiva de grupo y luego en el botón Agregar.
Aparece una ventana con tres fichas: Ficha Dominio y OU´s: lista sólo las directivas de grupo vinculados a nivel
de dominio o unidades organizativas Ficha Sitios: lista directivas de grupo sólo vinculadas a nivel de sitios. Ficha Toda: visualiza todas las directivas de grupo disponibles.
Seleccionando esta ficha se tiene la posibilidad de crear directivas de grupos no vinculadas a contenedores.
6.3 Parámetros de las directivas de grupo
Una vez establecido el vínculo de la directiva de grupo se puede pulsar el botón Modificar o realizar un doble clic en el vínculo, para visualizar o modificar los parámetros de la directiva seleccionada. Posee dos conjuntos de parámetros distintos.
Configuración del equipo: contiene todos los parámetros relacionados con el equipo.
Configuración de usuario: son los parámetros relacionados con las cuentas de usuario.
6.3.1 Estructura de las directivas de grupo: Aunque el primer nivel de los árboles sea idéntico, los parámetros de cada
conjunto son distintos.
6.3.1.1 Configuración de Software
Esta sección permite publicar o asignar programas. Está disponible en los dos árboles. De este modo, puede administrar la distribución de programas por usuarios o por equipos
6.3.1.2 Configuración de Windows
Según el conjunto de parámetros seleccionados, (E equipo o U usuario), esta sección agrupa los elementos siguientes:
a) Archivos de comandos: E + UEsta sección permite ejecutar secuencias de comandos al iniciar y al
cerrar la sesión de un usuario, o durante el inicio o la detención de un equipo. Estas secuencias de comando son de cualquier tipo (*.bat, *.cmd, *.exe, *.vbs,..) y se guardan en la carpeta SCRIPTS de cada directiva de grupo. En función del conjunto de parámetros que se expanda, (equipo o Usuario), se dispone de dos secciones:
EQUIPOConfiguración del equipo Configuración de Windows Archivos de comandos Inicio (STARTUP) Apagar (SHUTDOWN)
25
USUARIO Configuración de usuario Configuración de Windows Archivos de comandos Iniciar sesión (LOGON) Cerrar sesión (LOGOFF)
Hay que tener en cuenta que la directiva de grupo sólo contiene una referencia al archivo que posee una secuencia de comandos y no el archivo en sí, por lo tanto, el archivo se debe guardar en una carpeta a la que se pueda acceder para poder ejecutar esta secuencia de comandos. Después de haber copiado el archivo de secuencia de comandos en el directorio adecuado, se agrega la referencia a dicho archivo de la siguiente forma
Seleccionar una de las cuatro opciones posibles indicadas anteriormente, según las necesidades, y a continuación se selecciona del menú Acción – Propiedades.
Hacer clic en el botón Agregar e introducir la ruta de acceso al archivo. Pulsar Aceptar
b) Configuración de Seguridad: E + UEsta sección también la poseen los usuarios, pero pocos parámetros conciernen
directamente a éste último. Los parámetros de seguridad están asociados al equipo.La seguridad aplicada a los equipos es accesible directamente mediante las
consolas predefinidas en las herramientas administrativas: Directiva de seguridad local, Directiva de seguridad del controlador de dominio, Directiva de seguridad de dominio.
c) Servicios de Instalación remota: U
Los parámetros se pueden clasificar en los siguientes temas. Directivas de cuenta (E): Contiene las tres secciones siguientes:
Directiva de contraseñas: Permite definir parámetros referentes a las contraseñas, como la longitud, el historial, la vigencia o la complejidad de ésta. El historial está fijado a 24 horas, la vigencia máxima a 42 días, la longitud mínima a 7 caracteres, y la complejidad está habilitada.
Directiva de bloqueo de cuentas: Permite activar el bloqueo de las cuentas y el lapso de tiempo para la reinicialización después de introducir una contraseña errónea.
Directiva Kerberos: Permite definir parámetros relativos al protocolo de autentificación Kerberos.
Directivas locales (E): Posee las tres secciones siguientes: Directiva de auditoría: Permite activar o desactivar las distintas
directivas de auditoría para anotar los errores o los éxitos en el registro de seguridad.
Asignación de derechos de usuario: Se pueden definir muchos parámetros relacionados con la utilización del equipo, como el inicio de sesión, la parada del sistema o la modificación de la hora del sistema.
26
NOTA: Para configurar de forma más eficaz los parámetros de seguridad del equipo, puede utilizar las proporcionadas de modo predeterminado en el directorio %windir%\security\template\*.inf. Para ello selecione esta sección, y utilizar el menú Acción- Importar directiva y luego abrir el fichero de plantillas de seguridad que se desee.
Opciones de seguridad: Se definen los parámetros de seguridad globales del equipo, que controlan el comportamiento general del equipo, independientemente del usuario que se haya conectado a él (dispositivos, inicio de sesión, cuentas, seguridad, acceso y servicios de red, etc..)
Registro de sucesos (E): Permite definir el comportamiento de los registros de sucesos del sistema, de seguridad y de aplicaciones (tiempo de almacenamiento, método de conservación de los registros, tamaño máximo del registro, accesibilidad de los invitados a los registros)
Directivas de red inalámbrica (IEEE 80.1x) (E): Permite definir las reglas de acceso a las redes inalámbricas, imponiendo métodos de autentificación, un cifrado WEP, o simplemente preferencia de entrada a los puntos de acceso.
Para implementar esta directiva, seleccionar esta sección y utilizar el menú Acción – Crear directiva de red inalámbrica.
En el asistente, hacer clic en el botón Siguiente. Introducir un nombre para designar la directiva y luego hacer clic en los botones Siguiente y Finalizar.
En el cuadro de dialogo de las Propiedades, en la ficha General, se puede modificar el nombre de la directiva, el intervalo de actualización y las preferencias de acceso a las redes inalámbricas. En la ficha Redes preferidas permite definir las redes inalámbricas que tendrán preferencia durante el proceso de conexión de los clientes.
Al Modificar una red existente, un cuadro de dialogo permite definir las características de la red (método de autentificación o la activación del cifrado WEP))
Directivas de claves públicas (E + U): Permite definir las reglas de solicitud o de obtención de los certificados de clave pública.
Directivas de restricción de software (E + U): Esta directiva permite comprobar y, eventualmente restringir e incluso prohibir la utilización de algunos programas, en función de un equipo o de un usuario. Estas restricciones se basan en un nivel de ejecución, controlado o prohibido, calculado en función de las reglas siguientes
o Hash: Control de la integridad de los archivos mediante un algoritmo de firma digital.
o Certificados de clave pública: Asigna las extensiones de los archivos designados. Previamente, se debe activar estas reglas modificando el parámetro Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software en las Opciones de seguridad de la directiva de grupo.
o Ruta de acceso: Comprueba las carpetas a las que accede el programa, incluidas las rutas de acceso del Registro
o Zona de Internet: Asigna los archivos instalados por Windows Installer, en función de su origen (Local, Intranet, Internet, sitios restringidos, de confianza…)
27
Directivas de seguridad IP (E): Permite activar la seguridad del protocolo IP (IPSec), destinado a proteger los intercambios de datos en las redes locales o un aVPN. Para que haya una comunicación IP segura es necesario que las partes comunicantes utilicen directivas compatibles. Para activar el protocolo IP seguro, seleccionar esta sección y luego una de las directivas predefinidas:
o Servidor: El servidor pide la seguridad IP y la utiliza si el cliente soporta esta funcionalidad; si no, la comunicación que se establece es normal.
o Cliente: El servidor utiliza la seguridad IP si el cliente la solicita; si no, la comunicación se establece de forma normal.
o Servidor seguro: El servidor impone la seguridad IP y rechaza cualquier otra comunicación.
d) Redireccionamiento de carpetas: U
Esta directiva permite redirigir las carpetas personales de los usuraos (Datos de programa, Escritorio, Mis documentos y Menu inicio). Esta funcionalidad es interesante cuando los usuarios no disponen de un equipo asignado a título personal o cuando desean disponer de sus documentos desde cualquier equipo que utilicen. Para implementar esta directiva:
Seleccionar esta sección, seleccionar una de las carpetas Datos de programa, Escritorio, Mis documentos o Menú Inicio; luego utilizar el menú Acción – Propiedades.
Se abre un cuadro de diálogo. En la ficha Destino, seleccionar el modo de redireccionamiento en la lista desplegable:
o No configurado: Desactiva el redireccionamiento de la carpeta.
o Básico: Activa el redireccionamiento de la carpeta seleccionada a una ubicación única. A continuación se debe seleccionar la carpeta de destino. Si la carpeta no está creada se debe crear e indicar la ruta de acceso raíz en formato UNC..
o Avanzado: Activar la redirección de la carpeta seleccionada a una ubicación distinta en función de la pertenencia de grupo de los usuarios. Se deberá entonces introducir, para cada grupo al que concierne la directiva, la ubicación de la carpeta destino.
En la ficha Configuración, seleccionar las opciones.o Otorgar al usuaro derechos exclusivos en Mis
documentos: Permite dar permiso de Control Total sólo al usuario y a la cuenta del sistema
o Mover el contenido de Mis documentos a la nueva ubicación: Evita mantener los documentos en la carpeta original, moviéndolos después del redireccionamiento.
o Eliminación de la directiva: Comportamiento que se debe adoptar cuando el usuario ya no se ve afectado por la directiva o si ésta se elimina.
o Preferencia de Mis imágenes: Permite excluir la carpeta Mis imágenes de la directiva de redireccionamiento.
28
Hacer clic en el botón Aceptar para aplicar la directiva.
e) Servicios de instalación remota: E
Esta directiva permite definir las opciones que estarán disponibles para un usuario de los servicios de instalación remota. Generalmente, las opciones están definidas a nivel del servidor RIS (Remote Installation Services) y determinan las pantallas y las herramientas disponibles para el instalador
f) Mantenimiento de Internet Explorer: UPermite administrar y personalizar la configuración de Internet Explorer
en función de los usuarios.
6.3.1.3 Plantillas administrativasAl contrario de la configuración de Windows tratada anteriormente, esta sección
permite definir los parámetros que se desee, siempre y cuando se disponga del archivo de plantilla administrativa correspondiente. De este modo se puede configurar el entorno de los usuarios, el acceso al panel de control, el menú Inicio, las cuotas de disco… o también activar parámetros para sus necesidades específicas.
Los archivos de plantilla están situados en el directorio %windir%\inf y llevan la extensión .ADM
Se puede agregar o eliminar plantillas administrativas en una directiva de grupo, del modo siguiente:
Seleccionar esta sección, a nivel del conjunto de usuario o de equipo y, a continuación, utilizar el menú Acción – Agregar o quitar plantillas
Hacer clic en el botón Agregar para integrar nuevos parámetros, escribir el nombre del archivo de plantilla .ADM o seleccionarlo desde el cuadro de dialogo y hacer clic en el botón Abrir.
Para quitar parámetros, se debe utilizar el botón Quitar.
Los parámetros predeterminados disponibles en estas secciones (usuario y equipo) provienen de las plantillas administrativas siguientes:
Archivo Definición de los parámetros de….Conf.adm NetMeetingInetres.adm Internet ExplorerSystem.adm SistemaWmplayer.adm Windows Media PlacerWuau.adm Actualización automática Windows Update
6.3.2 Filtrado de seguridad
Para que una directiva se aplique a los usuraos de un contenedor, es necesario que éstos dispongan al menos de los permisos Leer y Aplicar directiva de grupos en el objeto de directiva. De modo predeterminado, estos permisos se aplican al grupo Usuarios autentificados. Para filtar la aplicación de una directiva se realiza de la siguiente forma:
Seleccionar uno de los contenedores al que está vinculada la directiva, utilizar el menú Acción – Propiedades y luego activar la ficha Directiva de grupo.
29
En la lista de vínculos GPO, seleccionar la directiva correspondiente y hacer clic en el botón Propiedades, activando la ficha Seguridad.
Hacer clic en el botón Agregar para seleccionar el nombre de usuario o grupo
Activar la casilla Denegar o Permitir para el permiso Aplicar directiva de grupos. El permiso denegar posee preferencia sobre permitir.
7. Administración de impresión7.1 Instalación de una impresora
En Windows 2003, todas las operaciones efectuadas en las impresoras situadas en la carpeta Impresoras y faxes de Mi PC del equipo, son también accesibles de forma remota desde otros sistemas. Hay diferentes formas de realizar la instalación.
a) Impresora Local: La instalación de una impresora local se realiza de la siguiente forma: Abrir el menú Inicio – Impresoras y faxes y hacer un doble clic en
el icono Impresoras. Hacer un doble clic en el icono Agregar impresoras. Se inicia el
Asistente para agregar impresoras. Para instalar una impresora conectada en este equipo, seleccionar
Impresora local y pulsar Siguiente
En el cuadro de diálogo que aparece, le invita a que se especifique el puerto en el que está conectado el dispositivo de impresión. Se tiene la opción de puertos paralelos (LPT1, LPT2, ….) y puertos en serie (COM1, COM2, …)
También se pueden agregar puertos de impresión adicionales. Si se dispone de un dispositivo de impresión de interfaz de red o propia, deberá agregar el puerto correspondiente a este dispositivo. Si tenemos este dispositivo es mucho más interesante, ya que no es necesario ningún servidor que cumpla la función de servidor de impresión, y sobre todo la transferencia de información por cable de red es más rápida que por cable paralelo.. De modo predeterminado sólo están disponibles los puertos Local Port y Standard TCP/IP.
Local Port: Permite conectar un dispositivo de impresión a un puerto paralelo, serie o a un archivo. Gracias a este puerto, también se puede redirigir los trabajos de impresión a una ruta UNC ( \\equipo_remoto\nombre_de_recurso_compartido)
Standard TCP/IP: Permite conectar dispositivos de impresión directamente a la red o mediante un módulo TCP/IP
Después de haber seleccionado el puerto que se desea utilizar, hacer clic en Siguiente.
En la parte izquierda se selecciona el fabricante y en la parte derecha el modelo exacto. Hacer clic en el botón Sguiente
Dar un nombre a la impresora, e indicar se quiere que se utilice de forma predeterminada.
Elegir No compartir esta impresora. Hacer clic en Siguiente y luego Finalizar
30
b) Impresora red: Cuando se comparte una impresora, ésta es accesible a los cliente de la red. La utilización de una impresora remota requiere la instalación del controlador adecuado en el equipo cliente.
Conexión de un equipo Windows Server 2003: Para realizar la instalación, basta con localizar la impresora mediante Mis sitios de red o mediante Active Directory. Una vez localizada la impresora, efectuar un clic con el botón derecho y seleccionar Conectar. El controlador se descarga automáticamente y se instala la impresora. Aparecerá en la carpeta Impresoras.
Conexión a través de la WEB: Si el servidor de impresión en el que se desea realizar la conexión, está ejecutando Microsoft Internet Information Server (IIS), se puede instalar una impresora a través de la intranet de la empresa o de Internet. Para ello, mediante el Explorador, conectarse a la dirección http://Servidor _IIS/printers. Todas las impresoras compartidas en el equipo de destino aparecen en el explorador. Basta realizar un clic en la impresora que se desea instalar.
7.2 Configuración de una impresoraSe puede acceder a la configuración de una impresora a través de sus Propiedades
Seleccionar la impresora y luego el menú Archivo – Propiedades. Las propiedades se dividen en una serie de fichas.
a) Ficha General: La ficha General permite definir Nombre: El nombre administrativo que se le dará a la impresora. Ubicación: Facilitará la búsqueda en Active Directory. Comentario: Permite tener indicaciones sobre la impresora. Preferencias de impresión: Permite definir la posición del
documento, el orden de impresión de las páginas, el origen del papel, el número de páginas que deben imprimirse por hoja, etc..
Imprimir página de prueba:
b) Ficha Compartir: Permite hacer que esta impresora esté disponible para otros clientes
c) Ficha puertos: Mediante esta ficha, se puede configurar lso puertos de impresión, tal y como se indicó en la fase de instalación
d) Ficha Opciones Avanzadas: Hay una serie de opciones que se deben tener en cuenta:
Dsiponibilidad : Se puede asignar una restricción horaria al envío de los trabajos de impresión hacia la impresora. Esto es especialmente útil cuando algunos usuarios imprimen documentos garandes. En este caso es bueno instalar dos impresoras (A y B) en el mismo servidor de impresión. Conectar a los usuarios de documentos grandes a la impresora A, dándole restricciones horarias. Al resto de usuraos sin restricciones a la impresora B.
Prioridad : La prioridad se indica mediante un dígito (1 – prioridad más baja y 99 prioridad más alta). Tanto si se trata de una o varias impresoras, el funcionamiento sigue siendo el mismo. También es posible trabajar con varias impresoras que acceden a distintos dispositivos de impresión. De hecho, esto combina la administración de las prioridades y la agrupación de impresoras.
31
Para cada impresora se asocia una prioridad, así como los grupos que pueden acceder. Por ejemplo, El grupo Contables utilizará la impresora Canon LBP-8 III con una prioridad de 12, y el grupo Directivos utiliza la misma impresora pero con una prioridad de 99
Cambio controlador : Se puede cambiar el controlador de la impresora.
7.3 Administrador del servidor de impresiónCuando se imprime un documento, se coloca primero ren la cola de impresión.
Cada impresora está asociada a una cola de impresión que, a su vez, está gestionada por el administrador de impresión.
8. Servidor DHCP8.1 Introducción DHCP
Dynamic Host Configuration Protocol (DHCP) es un protocolo de TCP/IP para simplificar la administración de la configuración del IP del cliente. El estándar DHCP permite que se utilice los servidores de DHCP para manejar la asignación dinámica de las direcciones y la configuración de otros parámetros IP para clientes DHCP en su red.
En la figura 14 se muestra la complejidad al configurar manualmente frente al configurar automáticamente. En redes TCP/IP, DHCP reduce la complejidad y el trabajo administrativo de re-configurar las computadoras cliente.Para entender por qué DHCP es útil para configurar clientes TCP/IP, es importante comparar la configuración manual de TCP/IP con la configuración automática que utiliza DHCP.
Figura 14. Comparación entre configuración manual y automáticaCuando se configura un DHCP Server para dar soporte a clientes DHCP, éste provee
automáticamente la información de la configuración a clientes DHCP y también se asegura que los clientes de la red utilicen la configuración correcta. Además, si se necesita realizar un cambio en la configuración IP de varios clientes, podrá realizarlo una vez en el DHCP Server, para que el DCHP actualice automáticamente la configuración del cliente reflejando el cambio.
a) Asignación de direcciones IP: DHCP permite manejar la asignación de IP de una localización central, y por lo tanto se puede configurar el DHCP Server para asignar direcciones de IP a una sola subred o múltiples subredes. Asimismo, el DHCP Server puede asignar la configuración IP a los clientes en forma automática. El lease (Figura 15) es el espacio de tiempo en el cual un cliente DHCP puede utilizar una configuración dinámicamente asignada de IP. Antes de la expiración del tiempo
32
de lease, el cliente debe renovarlo u obtener un nuevo lease del DHCP. El DHCP administra la asignación, y el release, de la configuración IP, concediendo la configuración IP al cliente. El estado del DHCP lease depende del tiempo en que el cliente pueda utilizar los datos de la configuración IP antes de liberarla y después de renovar los datos. El proceso de asignar la configuración IP se conoce como DHCP Lease Generation Process, y el proceso de renovar los datos de la configuración IP se conoce como DHCP Lease Renewal Process. La primera vez que un cliente DHCP se agrega a la red, el mismo debe solicitar la configuración IP al DHCP Server para que, cuando éste reciba la solicitud, el server seleccione una dirección IP del rango de direcciones que el administrador ha definido en el scope. El DHCP Server ofrece la configuración IP al cliente de DHCP. Si el cliente acepta la oferta, el DHCP Server asignará la dirección IP al cliente por un período de tiempo especificado. El cliente entonces utilizará la dirección IP para tener acceso a la red.
Figura 15. Utilización del lease por el servidor DHCP.
b) Funcionamiento del proceso Lease Generation: El proceso se muestra en la Figura 16. El cliente DHCP envía un broadcasts, paquete DHCPDISCOVER para localizar al DHCP Server. Este paquete DHCPDISCOVER es el mensaje que los clientes DHCP envían la primera vez que se conectan a la red y solicitan la información IP de un DHCP Server. Existen dos formas de comenzar el proceso DHCP Lease Generation. La primera ocurre cuando una computadora cliente se enciende o se inicia TCP/IP por primera vez, y la segunda ocurre cuando un cliente intenta renovar su lease y no lo logra. (Por ejemplo, un cliente puede no lograr una renovación cuando Usted lo mueve a otra subnred.)
El DHCP Server envía un broadcast paquete DHCPOFFER al cliente. El paquete DHCPOFFER es un mensaje que el DHCP Server utiliza para ofrecer el lease de una dirección IP al cliente, cuando éste se conecta a la red. Cada DHCP Server que responde, reserva la dirección IP ofrecida para no ofrecerla nuevamente a otro cliente DHCP, antes de la aceptación del cliente inicial. Si el cliente no recibe una oferta después de cuatro peticiones, utiliza una IP en la gama reservada a partir del 169.254.0.1 a 169.254.255.254. El uso de una de estas direcciones auto-
33
configuradas IP asegura que los clientes situados en una subnet DHCP Server inaccesible, puedan comunicarse con otros clientes. Mientras tanto el cliente DHCP continúa buscando un DHCP Server disponible cada cinco minutos. Cuando el DHCP Server llegue a estar disponible, los clientes recibirán direcciones válidas IP, permitiendo que esos clientes se comuniquen con clientes en su subnet y en otras también.
El cliente DHCP envía un broadcasts, paquete DHCPREQUEST. El paquete DHCPREQUEST es el mensaje que un cliente envía al DHCP Server para solicitar o renovar su lease de IP. El cliente DHCP responde al primer paquete DHCPOFFER que recibe con un broadcasts de DHCPREQUEST para aceptar la oferta. El paquete DHCPREQUEST incluye la identificación del server que oferta y el cliente que aceptó. Todos los otros DHCP Servers después eliminan sus ofertas y conservan sus direcciones de IP para otros lease.
El DHCP server envía un broadcast, DHCPACK al cliente. El paquete DHCPACK es un mensaje que DHCP Server envía a un cliente como acuse de recibo y finalización del proceso de lease. Este mensaje contiene un lease válido para la dirección IP y la otros datos de configuración IP. Cuando el cliente DHCP recibe el acknowledgment, inicia TCP/IP usando la configuración IP provista por el DHCP Server.
Figura 16. Proceso Lease Generation
8.2 Instalar Servidor DHCPPara instalar un servidor DHCP se deben serguir los siguientes pasos:
Hay que asegurarse de que el sistema del servidor DHCP está configurado con una dirección IP estática.
En el menú Inicio – Herramientas Administrativas – Servidor DHCP. Hacer clic con el botón derecho del ratón sobre el servidor DHCP y seleccionar
Ámbito nuevo. Aparecerá el asistenta para nuevo ámbito. Hacer clic en Siguiente para comenzar la creación.
Introducir un nombre y una descripción para el nuevo ámbito.. Hacer clic en Siguiente.
Se debe introducir un intervalo de direcciones IP (deben ser continuas), introduciendo una Dirección IP inicial y una Dirección IP final. Este
34
intervalo nos va a definir el almacén de direcciones disponibles para clientes DHCP.
Indicar la máscara de subred con la que se quiere trabajar para estas direcciones IP. Pulsar Siguiente
Si se quieren eliminar direcciones IP, por ejemplo, direcciones estáticas dentro del almacén antes creado se introducen las direcciones de inicio y fin y hacer Agregar. Cuando se termine se pulsa Siguiente.
Introducir un intervalo de tiempo para la duración de la concesión del cliente DHCP de la dirección IP antes de la caducidad. Pulsar Siguiente
Pasar a realizar unas configuraciones más avanzadas pulsando Configurar estas opciones ahora. Se indican las IP DNS, IP de puerta de enlace
Una vez en la ventana de Activar este ámbito ahora, se puede seleccionar la activación del ámbito y el inicio del servidor DHCP para el mismo. Pulsar Finalizar para terminar la creación del ámbito
9. Comunicación mediante red privada virtual9.1 Introducción a VPN
¿Qué es VPN?
Las Virtual Private Networks o VPN es un concepto de tecnología que permite conectar dos máquinas entre sí, de forma segura y confidencial, a través de un medio inseguro.
Imagínense que una empresa en Santiago necesita conectar su sucursal de Los ángeles a la central, Santiago. Esta necesidad obedece a la implementación de un nuevo sistema de ventas que permitirá manejar de forma centralizada tal proceso. La cosa es que la empresa no tiene mucho dinero y, por tanto, no puede darse el lujo de contratar un enlace dedicado. Así que contrata un ADSL de 512 Kb. Ahora que la sucursal tiene Internet nos salta la duda; de cómo hacer que se comunique de forma segura, confidencial y transparente con la central. Pues es ahí donde el concepto VPN puede entrar. La sucursal se puede conectar a las oficinas centrales a través de una VPN estableciendo una conexión “directa”, segura, confidencial, transparente para los usuarios y aplicaciones, barata entre la sucursal y la central y de esta forma es como si la red de la central se extendiera a la sucursal. La cosa es que las VPN permiten conectar clientes remotos y redes remotas de forma segura sobre un medio público.
¿Por qué Virtual?
Porque al momento del establecimiento de una conexión VPN el cliente virtualmente extiende la red de la empresa hasta donde él esté, esto lo hace trabajar lógicamente dentro de la misma empresa, pero dentro de un concepto “virtual”.
¿Por qué Private?
Privada porque el concepto de privacidad se mantiene una vez implementada la VPN. La privacidad en las comunicaciones de la empresa es parte esencial en políticas de seguridad. Las comunicaciones a través de VPN mantienen su privacidad sobre medios públicos ya que van encapsuladas dentro de un túnel encriptado y autentificado y sólo se mantienen circulando dentro de la red de la empresa (la que incluye la conexión VPN).
¿Por qué Network?
Las VPN trabajan a nivel de red, y son capaces de interconectar, extender y comunicar redes o segmentos de redes. Las VPN también pueden crear túneles de comunicación internos entre una máquina y un servidor dentro de la red de una empresa (puede parecer paranoico, pero hay empresas que tiene VPN’s dentro de sus propias redes para asegurar comunicación entre servidores críticos).
¿Cómo funciona?
35
Las VPN’s funcionan creando una conexión “directa” virtual entre dos máquinas. Esta conexión puede ser realizada a través de Internet, de enlaces dedicados o compartidos, independientemente del tipo de conexión que se tenga. Nos permiten crear un túnel entre dos puntos por el cual la información viaja segura y confidencial como se muestra en la siguiente figura:
Como se puede ver en la figura, la red 1 se conecta a la red 2 mediante una conexión VPN. Esta conexión utiliza Internet para su comunicación de forma segura y confidencial. Las VPN’s utilizan tecnología de TUNNELING (túnel virtual), que es la creación de un túnel virtual entre dos puntos donde la información que se transmite queda protegida y fuera del alcance de ociosos. El túnel VPN está compuesto de forma general por dos máquinas que generan la comunicación, los protocolos de autentificación y los protocolos de encriptación de la información. Para que una comunicación entre máquinas se pueda llamar VPN ésta ha de contar con:
Un mecanismo de autentificación entre máquinas y creación del túnel: el mecanismo de autentificación entre máquinas es implementado en ambos extremos de la VPN para que las máquinas que se encargan de la generación del túnel se puedan autentificar una contra otra. Esto quiere decir que el servidor de un extremo le mostrará su carné de identificación al otro y viceversa. Una vez que ambos saben quién es el otro se inicia el proceso de negociación (amistad), creando un túnel de comunicación. Los protocolos de túneles más usados son el PPTP y L2TP.
Un mecanismo de autentificación para usuarios: obviamente no se quiere que cualquier usuario se meta en nuestra red y, por lo tanto, se debe revisar quiénes tienen derecho autentificando y validando cualquier intento de conexión. Una buena forma de autentificar usuarios es utilizando el estándar RADIUS.
Protocolo de encriptación: el paso anterior sólo nos permite crear un túnel confiable entre ambas máquinas, sabiendo quién está en cada extremo y validando que el otro sea realmente la persona en que confiamos cada vez que recibimos datos. Pero aunque ya tengamos implementado este túnel virtual la información que viaja entre ambos puntos va por un medio público como Internet o enlaces compartidos. Para que nuestra información no pueda ser atrapada indebidamente, ésta se debe proteger de alguna forma y es aquí donde entra la encriptación de la
36
información. Encriptación es básicamente el hacer que una información sea ilegible por una persona no autorizada.
a) Generación de Conexión VPN
Como ejemplo supongamos una empresa que implementa el teletrabajo, es decir, que sus empleados pueden acceder remotamente a los servidores. Dicha empresa tiene un servidor VPN para aceptar clientes VPN. Los pasos que sigue dicha conexión serían los siguientes:
1. El cliente VPN (por ejemplo un portátil conectado a Internet) ejecuta su conector VPN.
2. El subsistema de redes de la máquina empieza a procesar dicho conector y se da cuenta de que es una conexión VPN. Entonces, el sistema realiza una conexión primaria al servidor VPN a través de Internet.
3. Cuando el servidor VPN recibe la solicitud empieza un proceso de negociación para poder establecer una comunicación segura. Esto quiere decir, que antes de pasar a un nivel superior de amistad ambos individuos (cliente y servidor) deben empezar a confiar el uno en el otro. Una vez que esta confianza es establecida se puede pasar al siguiente punto.
4. Cuando ambas máquinas están en confianza establecen el denominado túnel, esto quiere decir que mantienen una comunicación constante entre ellas.
5. Una vez establecido el túnel virtual el cliente laboral debe ser autentificado en la red a la que está accediendo. Este proceso dependerá de la plataforma de red que exista en nuestra empresa. Una vez que el servidor VPN sabe que el trabajador tiene los derechos de acceso otorgados, permite su ingreso.
6. La red de la empresa se extiende de forma virtual y segura hasta la casa del cliente VPN (en este caso, el trabajador).
7. El usuario hace uso de todos los recursos a los que tiene permisos en la red de su empresa.
Las conexiones VPN se rigen normalmente por estándares de comunicaciones fijados por la IETF. Como en toda comunicación de red, en las conexiones VPN deben existir protocolos que permitan la comunicación entre las diferentes capas de comunicación, es aquí donde entran en juego el PPTP, L2TP e IPSec.
¿Para qué nos sirve una VPN?
Las funcionalidades de las VPN son muy diversas, pero se podría reducir a una sola necesidad: comunicar dos máquinas o redes que se encuentran alejadas remotamente de forma segura, confidencial y por un medio de comunicación público o privado. En la actualidad, las VPN son el medio más seguro para establecer comunicaciones entre dos ubicaciones remotas a través de ordenadores.
Al comienzo, la implementación de una VPN sólo estaba al alcance de grandes corporaciones como bancos, financieras, multinacionales, etc. Hoy en día se encuentran al alcance de las PYMES, dependiendo de los sistemas operativos con los que se trabaje, como Windows 2000 Server o superior y Linux, que poseen el sistema de forma nativa. Las VPN se pueden crear tanto entre cliente/servidor como servidor/servidor.
37
b) Protocolos VPN
Como ya habíamos comentado los protocolos utilizados en una VPN son PPTP y L2TP, los cuales se describen a continuación:
Establecimiento de una VPN con PPTP (Point-to-Point Tunneling Protocol): Este protocolo encapsula paquetes PPP en datagramas IP para generar la transmisión sobre redes de Internet o redes privadas (RFC2637). PPTP utiliza una conexión TCP para mantener el túnel y poder enrutar los paquetes PPP sobre las redes IP. Los mecanismos de autentificación que soporta PPTP para el establecimiento del túnel y para la autentificación del usuario pueden ser: EAP, MS-CHAP, MS-CHAPv2, CHAP, SHIVA, SPAP y PAP. Para que se genere un túnel PPTP el cliente genera una comunicación TCP saliendo por cualquier puerto TCP de su máquina al puerto TCP 1723 del servidor VPN (puertos que están estandarizados para PPTP). Esta conexión es realizada para crear el túnel virtual. Para mantener esta comunicación ambas máquinas se envían mensajes (ECHO-REQUEST, ECHO-REPLY) entre ellas para comprobar que no se ha perdido la conexión. Hay que tener en cuenta que la creación del túnel antes mencionado sólo se llevará a cabo si se cumplen las negociaciones de seguridad (autentificación). Una vez realizada la conexión a bajo nivel se debe autentificar el usuario para comprobar si tiene derechos de acceso VPN, por ejemplo, mediante RADIUS. Ya establecido el túnel, los paquetes que son enviados sobre este medio deben ser encriptados para asegurar la confidencialidad y seguridad necesaria al momento de ser transmitidos sobre redes públicas. En el caso de Microsoft la encriptación del paquete está dada por Microsoft Point to Point Encription (MPPE) que puede ser definida a 48, 56 o 128 bits. A partir de ahí el cliente ya puede acceder a todos los recursos VPN a los que tenga permiso.
VPN con L2TP/IPSec (Layer 2 Tunneling Protocol/IP Security): Este protocolo es la combinación de PPTP más Layer 2 Forwarding. L2TP utiliza paquetes UDP para la creación y mantenimiento del túnel. El puerto utilizado es el UDP 1701. Para la creación de un túnel virtual el cliente envía un paquete UDP al servidor VPN. La autentificación en L2TP sobre IPSec es a nivel de usuarios y máquinas. La autentificación entre las máquinas se hace intercambiando los certificados de las máquinas, es decir, el cliente le entrega una caja y una llave al servidor para que le mande los datos en esa caja cerrada (clave pública del cliente). El servidor le manda también una caja con una llave al cliente, para que le mande los datos en esa caja cerrada (llave cerrada del servidor). Como estas cajas están cerradas nadie las puede abrir excepto los dueños de dichas cajas, ya que tienen las copias de las llaves que pueden abrirlas (las claves que se intercambian entre ellos, sólo sirve para cerrar las cajas no para abrirlas). Esto asegura la confidencialidad de los datos sobre un medio público. Una vez que se han intercambiado los certificados y con sus correspondientes claves, toda la información que sea transmitida entre las 2 máquinas , será transportada en dichas “cajitas” a prueba de hacker. Entre los algoritmos de encriptación que pueden ser utilizados por IPSec destacan DES a 56 bits y 3DES que usa tres claves de 56 bits cada una. Los mecanismos de encriptación a nivel de usuario son los mismos que PPTP (EAP, MS-CHAP, MS-CHAPv2, CHAP, SHIVA, SPAP y PAP). Como sólo está estandarizado el manejo de L2TP para IP, el paquete que viaje por Internet se vería así
Cabecera DATALINK Cabecera IP Cabecera IPSec
Cabecera UDP Cabecera L2TP Cabecera PPP
38
DATOS Cola de protocolos
IPSec es un protocolo de encriptación muy seguro y robusto, que se utiliza en grandes empresas.
9.2 Configuración de una red privada virtualAbordaremos VPN con protocolo de Túnel PPTP.
1. Requerimientos: Los requerimientos que indicaré a continuación son los recomendados. Ustedes pueden tener otras configuraciones y la configuración VPN puede variar un poco. Trataré de abordar diferentes configuraciones. Los requerimientos principales son:
o 2 NIC (2 tarjetas de Red) o 1 IP válida en Internet para la tarjeta de red conectada a la WAN: Se deben
configurar todos los parámetros TCP/IP en la nic de Internet. o 1 IP fija para la tarjeta de red conectada a la LAN: se deben configurar
todos los parámetros necesarios en la tarjeta de red conectada a la LAN: DNS, WINS, ect. NO se debe configurar default gateway en esta NIC.
o Windows Server 2003 o Windows 200 Server (todas las versiones en esta gama soportan RRAS)
2. Creación VPNWindows 2000 y Windows Server 2003 traen integrado un soporte nativo para
VPNs, tanto de Server como de clientes. Se utilizará la versión Windows Server 2003. . Para poder habilitar nuestra VPN tenemos que hacerlo a través del servicio Routing and Remote Access Server (RRAS). RRAS es el servicio en Windows Server que permite levantar servicios de redes como routers, NAT (en 2003 con un firewall), VPN, RAS, DHCP Relay, etc. Este servicio (RRAS) viene instalado por defecto, pero no viene configurado.
o Abramos el RRAS: Esto es en Start/Programs/Administative Tools/Routing and Remote Access
Una vez abierto. RRAS nos muestra el nombre del ordenador, que tiene una flecha roja. Esta flecha indica que el servidor no ha sido configurado.Para configurar el servidor debemos pulsar el botón derecho del ratón sobre el Server y seleccionar la opción "Configure and Enable Routing and Remote Access"
39
Una vez seleccionada la opción, se abrirá el asistente para iniciar el proceso de configuración. En la ventana principal de este asistente aparece una lista de posibles servicios a habilitar. Para habilitar un servidor VPN debemos seleccionar la opción "Virtual Private Network (VPN) access and NAT".
Para habilitar el soporte VPN necesitamos tener 2 tarjetas de RED. Una conectada a Internet y la otra a la LAN. En la ventana siguiente el asistente pedirá seleccionar la tarjeta que esta conectada a Internet. La ventana muestra la lista de tarjetas que existen en el PC (pueden ser mas de 2).En este caso la tarjeta que esta conectada a Internet se llama "INTERNET". La seleccionamos haciendo clic con el ratón.
40
Como se puede apreciar además de la lista de tarjetas de red aparece una opción que hace referencia a la habilitación de un mini servicio de firewall. Como les comente anteriormente el asistente VPN en Windows Server 2003 incluye la habilitación del servicio NAT y además incorpora un firewall para dicho servicio. En el caso de que estemos montando nuestro Server VPN protegidos por un firewall que nos proteja no es necesario habilitar la opción.La nueva ventana del asistente es para configurar la forma en la que nuestros clientes obtendrán una dirección IP con el fin de que puedan incorporarse a la red corporativa. Para que un cliente VPN pueda tener acceso a la red corporativa no solo debe ser capaz de conectarse al Server VPN sino que además debe ser capaz de ser parte de la red y acceder a sus recursos. La asignación de los parámetros TCP/IP a los clientes es la que entrega esa cualidad. Esta sección del asistente nos da la opción de entregar los parámetros a través de un servidor DHCP o a través del Server VPN. Si seleccionamos la opción "Automatically" (automáticamente) el servidor VPN se contactará con el servidor DHCP y se solicitará un rango de 10 direcciones IP con todas las opciones asociadas. Si se le acaban las 10 IP volverá a solicitar 10 más y así sucesivamente. Si seleccionamos la opción "From a specified of addresses" el servidor VPN será el encargado del manejo de las IP. Lo ideal es contar con un servidor DHCP. La razón de esto es que con el Server DHCP podemos asignar opciones IP como DNS, Puerta de enlace por defecto, WINS severs, etc.Si el servidor VPN no esta configurado para solicitar IPs a un DHCP, las opciones IP como DNS y WINS son heredadas de la configuración de red del Server VPN (la tarjeta de la LAN) y puede ser que estas configuraciones no sean las necesarias para poder acceder a los recursos internos. Seleccionamos la opción "Automatically" (automáticamente)
41
La ventana que sigue en el asistente es para configurar RADIUS. RADIUS es un mecanismo de autentificación de usuarios que se conectan remotamente (RAS, DIAL-In). RADIUS sirve para centralizar la autentificación de clientes remotos y para implementar reglas y políticas de acceso remoto. Si se tiene una red grande o un dominio MS lo ideal es que tengan implementado RADIUS para tener un control mas granular y optimizado de las conexiones remotas. RADIUS es un estándar y no es propietario de MS por lo que podemos utilizar cualquier Server RADIUS para autentificar (en realidad depende de las reglas que apliquemos y algunos detalles extras). Como dato les cuento que RADIUS es la forma de autentificar clientes WI-FI según la norma 802.1x. En este caso no seleccionaremos la opción de autentificar contra un Server RADIUS.
La ventanita final del asistente nos muestra un resumen de las opciones seleccionas. Presionamos Finalizar y listo. Ya tenemos el nuestro servidor VPN habilitado!!!!!.
42
NOTA: Si están en un ambiente de Dominio MS el asistente tratará de registrar el Server en Active Directory. Esta es una característica propia de las maquinas 2003 y de dominios 2003. Esto no existe no Windows 2000. Así queda la consola de RRAS una vez habilitado VPN:
Después de configurar el servicio VPN tenemos que configurar ciertos aspectos del servidor. Los vamos a enumerar para que no nos perdamos: Seguridad a nivel de VPN,
43
Políticas de Acceso y conexión, Cantidad de conexiones concurrentes, Seguimiento de conexiones (logs) Usuarios. 1. - Seguridad VPN
Cuando se establecen conexiones VPN estas conexiones deben ser autentificadas, autorizadas y protegidas. Si todos estos pasos son ejecutados con éxito la conexión VPN se establece. Debido a que una conexión VPN "extiende" la red de la empresa hasta el cliente por un medio no seguro como Internet una de las principales necesidades en conexiones remotas es otorgar seguridad y confidencialidad a la información transmitida. Esto se logra a través de la implementación de ciertos protocolos de encriptación. Comentaba que para poder establecer una conexión deben existir 3 procesos básicos: autentificación, autorización y protección. Autentificación corresponde al proceso de comprobar que la persona que dice ser cliente es realmente cliente y que el Server VPN que dice ser Server es realmente Server. En palabras simples es poder comprobar que tanto el Server y el cliente son quienes dicen ser. La Autorización es entregar al cliente autentificado el derecho de conectarse al Server VPN de acuerdo a las reglas y políticas configuradas. Protección es la etapa en la que se protegen los datos que serán transmitidos a través de la VPN entre el cliente VPN y el Server VPN.
Todo lo que hemos hablado anteriormente es manejable a través del nodo "Remote Access Policies". Cuando habilitamos VPN en Windows Server 2003 se crean automáticamente 2 reglas.
Es sano eliminar estas 2 reglas y crear reglas propias y personalizadas. Una vez eliminadas las reglas procederemos a crear una nueva. Los pasos que se describen abajo son la guía para crear una nueva regla y se empezará configurando los parámetros de seguridad.
Configurando Autentificación:Una vez que hemos borrado las reglas por defecto del RRAS creamos una nueva. Esto lo hacemos pinchando con el botón derecho del ratón sobre
44
"Remote Access Policies" y seleccionado la opción "New Remote Access Policy"
La creación de reglas esta asistida por un asistente. Después de la bienvenida el asistente nos guía a la próxima ventana. Esta ventana es una página de selección de construcción de la regla. Podemos crear una regla personalizada o en base a un criterio ya preestablecido por MS. En esta ventana también esta la opción para nombrar nuestra regla. Seleccionaremos la opción "Use the wizard to set up a typical policy for a common scenario" y le pondremos un nombre descriptivo. En este caso se usará "Security setting and Allow VPN connection for VPN User Group". Traten de que el nombre sea descriptivo con el fin de que fácilmente puedan entender la función de la regla
45
Después de ingresar la información y avanzar a la siguiente ventana el asistente nos muestra una lista de selección de posibles políticas de acceso. Estas políticas se basan en el tipo de conexiones remotas que proveerá el Server. Para nuestro caso seleccionaremos la primera opción: "VPN"
Una ves seleccionada la opción y avanzado a la ventana siguiente el asistente nos muestra la ventan de permisos. En esta ventana es donde se seleccionan los usuarios o grupos de usuarios que tendrán derecho para conectarse al servidor VPN desde Internet. El asistente te da la opción de elegir dar permisos a usuarios o a grupos. Como pueden apreciar el asistente por defecto selecciona la opción "Group". Es recomendable dar permisos a Grupos de usuarios y no directamente a usuarios. En este ejemplo se ha creado un grupo de usuarios que se llama "VPN Users". Este grupo contiene las cuentas de los usuarios que pueden conectarse a la VPN. Para agregar un grupo pulsamos en el botón "ADD" y buscamos el grupo al que le vamos a entregar el derecho de conexión. Si están trabajando en un dominio debemos seleccionar el grupo o usuario del dominio. Si estamos en una red sin dominio como por ejemplo un Workgroups o una no MS seleccionamos usuarios o grupos que han sido creados localmente en el Server VPN.
46
Una vez seleccionado el grupo de usuarios al que le daremos acceso VPN, la ventana siguiente le solicitará elegir los métodos de encriptación. Por defecto viene seleccionado el protocolo de autentificación "Microsoft Encrypted Authentication version 2 (MS-CHAP V2)". MS-CHAP (Miscrosoft Challenge Handshake Authentication Protocol) es un protocolo de MS para autentificar conexiones VPN. La versión 2 presenta enormes mejoras sobre su antecesor y por esta razón viene seleccionada por defecto. Alguna de las mejoras mas notables es que tanto el cliente y el Server se autentifican entre ellos para comprobar que ambos son quienes dicen ser, la información enviada desde el cliente al Server en el proceso de autentificación es encriptada con una cadena diferente cada vez que el cliente se conecta, la versión 2 usa una clave para transmitir y para recibir, etc. La opción "Extensible Authentication Protocol (EAP)" nos da la posibilidad de elegir autentificación basada en certificados digitales. En las conexiones VPN podemos usar certificados para autentificar a nuestros usuarios. En este ejemplo no utilizaremos EAP porque incurre en la creación de una infraestructura de PKI, y lleva más tiempo de explicar. La opción "Microsoft Encrypted Authentication (MS-CHAP" es un protocolo que viene incluido para entregar tolerancia y compatibilidad a clientes pre Windows 2000 o clientes que no tienen instalado el software de actualización del dial-up. Este programa se encuentra disponible para descarga en el sitio de MS. Si tus clientes son Windows 9x, ME, y NT40 con SP 3, no podrán autentificarse con MS-CHAP V2 hasta que se actualice su subsistema de conexiones (Dial-Up).
Se deja todo tal cual como esta por defecto en el asistente y pinchamos en siguiente. La ventana siguiente nos entrega la lista de los mecanismos de encriptación que serán utilizados para proteger la información que será transmitida por Internet. En resumen es aquí donde seleccionamos el nivel de protección de nuestra información. El asistente nos da la opción de elegir entre 3 posibles niveles: Basic, Strong y Strongest. Nuestro server VPN soporta 2 protocolos de encriptación de la información: IPSec y MPPE con los diferentes niveles de seguridad asociados a ellos. Lo ideal es dejar solo seleccionado el nivel "Strongest encryption". Los demás niveles son para
47
compatibilidad con clientes pre Windows 2000 que no tengan instalado la famosa actualización. Para el caso de este ejemplo seleccionaremos la opción "Strongest encryption".
Y listo !! ya terminamos de configurar las opciones de seguridad de nuestro servidor VPN. El asistente nos mostrará un resumen de las configuraciones que hemos seleccionado. Presionamos en el botón para finalizar la configuración. La consola ahora se debería ver mas o menos así:
Si ven las propiedades da la regla que acaban de crear se darán cuenta que existe muchas opciones que podemos modificar, como por ejemplo: Tipo de medio por el cual se están conectando los clientes, el tipo de frame, el tipo de túnel a establecer (PPTP o L2TP), días y horas en las que se
48
aceptarán conexiones, etc. En esta ocasión no veremos todas estas opciones porque significaría hacer un manual gigantesco y el objetivo de este ejemplo es ser una guía simple para crear una VPN con MS con un nivel de seguridad aceptable y estándar.
2 - Cantidad de conexiones Concurrentes.Otra de las opciones que tendremos que configurar es la cantidad de conexiones VPN concurrentes que serán permitidas por nuestros Server VPN. Por defecto el Server VPN viene configurado para permitir 128 conexiones concurrentes tanto con túnel PPTP o túnel L2TP. El control de nuestra VPN también pasa por este punto. Lo ideal es sacar la cuenta de cuantas conexiones VPN concurrentes queremos soportar en base a la cantidad de usuarios que se conectarán y luego hacer una estimación de cuántos usuarios estarán conectados al mismo tiempo. Para este ejemplo utilizaremos 5 conexiones concurrentes de cada tipo de túnel. Para configurar las puertas hacemos click derecho en el nodo "Ports" de nuestra "Propiedades"
La ventana de propiedades nos muestra la información de los tipos de puertos habilitados y la cantidad de cada uno de ellos. Además nos da la opción de configurarlos.
49
En este caso se están mostrando unas puertas de un fax externo, el puerto PPoE, los puertos PPTP, L2TP y la puerta paralela. Para configurar la cantidad de puertas VPN que utilizaremos pinchamos una vez en PPTP y presionamos el botón "Configure". La ventana que se abre nos permite configurar la cantidad de conexiones concurrentes que permitiremos por este protocolo. Además nos permite configurar el comportamiento de las puertas que estamos habilitando. Las opciones "Remote access connections (inbound only)" configura al servidor VPN para aceptar solo conexiones de entrada (desde la tarjeta de Internet). La opción "Demand-dial routing connections (inbound and outbound)" configura al servidor VPN para aceptar conexiones tanto de entrada y de salida, pero cuando estamos trabajando con demand-dial conections. Demand-dial connections es una característica que permite al Server RRAS iniciar conexiones y acciones asociadas solo cuando se le solicita y no en todo momento. Esto esta orientado a servidores que utilizan dial-up para conectarse a Internet o a servidores que han sido configurados como RAS. Dejemos estas opciones tal cual como están y configuremos solo 5 conexiones.
50
Cuando aceptamos los cambios, la ventana de configuración de puertas nos mostrará un aviso que nos indica que estamos reduciendo puertas y que si la cantidad que hemos puesto es menor a la cantidad de usuarios que podríamos tener conectados en es momento el servidor desconectará los usuarios que están demás para poder cumplir con la restricción.Debemos repetir los mismo pasos para configurar L2TP. Una vez finalizado el proceso de configuración de puertas nuestra consola debería verse mas o menos asi:
Ya configuramos nuestras puertas.DATO: Windows Server 2003 Enterprise y Data Center Edition soportan un numero ilimitado de conexiones, Windows Server 2003 Standar soporta solo 1.000 y Windows Server 2003 Web Edition soporta solo 1 (se pueden crear 1.000 puertas pptp y l2tp pero solo puede haber una conexión concurrente)
3 - Seguimiento de conexiones (logs)Una cosa es que estemos haciendo una VPN de forma fácil, pero no por eso tenemos que dejar de lado algunas costumbres básicas. Una de estas costumbres es la configuración de logs. Si tenemos un buen esquema de logs podemos tener mejor seguimiento de la actividad que existe en nuestro Server VPN. La necesidad de configurar la mayor cantidad de características de seguridad obedece a que nuestro servidor VPN es la potencial puerta de acceso a nuestra empresa y por eso tenemos que mantener algún tipo de registro y de control sobre ella. Lo que hemos leído antes soluciona de forma simple el tema del control. Logs solucionan el tema del registro. No tenemos que volvernos locos logeando información, sino que tenemos que mantener cierto balance. En empresas paranoicas o donde existen políticas de seguridad ya definidas es muy posible que el logeo sea realmente horrible.La configuración del logeo de las actividades de nuestro Server VPN se configura básicamente en 2 nodos: En las propiedades de nuestro Server y en el nodo "Remote Access Loggin". En las propiedades del nodo que representa nuestro servidor existe un tab (lengüeta) llamado Logging. En este tab se configura el criterio que se utilizará para loggin. Básicamente es aquí donde configuramos si logearemos solo errores, errores y warnings, todo o nada. En el nodo Logging
51
existen 2 configuraciones de logeo que vienen peseteadas por Windows (en Windows 2000 solo viene una): Local File y SQL Server. Como sus nombres dan a entender Local File es la configuración preestablecida para registrar los eventos en un archivo de log normal y la opción SQL Server nos da la posibilidad de tirar la información a un servidor SQL. (no veremos esta opción en este ejemplo)Partimos definiendo el criterio a seguir para saber bajo que condiciones logear. Esto se hace haciendo click derecho sobre el nodo que hace referencia a nuestro servidor y seleccionando la opción "Properties"
Una vez abiertas las propiedades de nuestro Server nos vamos a la ficha "Logging" y seleccionamos la opción "Log all events". Al seleccionar esta opción tendremos información de todo lo que esta pasando en el Server. Es bueno saber que es lo que pasa en nuestro Server VPN. Recordemos que es un Server crítico. Las demás opciones se explican solitas por su nombre y no necesitan mayor aclaración. El checkbox "Loggin additional Routing and Remote Access información" es una opción que se usa para depurar posibles problemas. Esta opción solo se debe habilitar cuando tenemos problemas serios con nuestro Server. Esta opción logea (depura) toda la información de la pila TCP/IP que hacer referencia al servicio RRAS. Generalmente los problemas se solucionan sin tener que habilitarla.
52
Ahora tenemos que configurar que es lo que queremos depurar. Esto lo hacemos pinchando en el nodo "Remote Access Loggin" de nuestro console tree y luego haciendo doble click Local File in el panel de trabajo (el derecho). La ventana que se abre nos entrega 2 fichas: Settings y Log File. La ficha Settings nos permite definir que es lo que queremos logear. Para nuestro caso seleccionaremos las 3 opciones para poder tener un buen nivel de tracking en nuestro servidor.
53
Una vez que hemos selecciona que logear tenemos la alternativa de modificar la ubicación y el formato de nuestro archivo de logeo. Además se puede especificar cada cuanto tiempo se creará un nuevo archivo de logeo. En esta ficha también viene configurado por defecto una opción que permite borrar automáticamente los logs antiguos cuando el disco duro este full. El archivo de log viene por defecto configurado para ser construido bajo el formato IAS y su ubicación en el disco duro es configurada a C:\Windows\System32\LogFiles (Winnt en el caso de 2000). También nos da la opción de cambiar el formato de nuestro archivo de log a uno compatible con base de datos. Para este ejemplo no modificaremos ningún parámetro en este ficha y aceptaremos los cambios de la ficha anterior.
Y listo, ya tenemos lista la configuración de logging en nuestro Server VPN
4 - Usuarios:
Ahora hay que pensar en nuestros usuarios. En líneas anteriores se habló de grupos y de usuarios y ahora tratemos de explicar mejor de que se trata todo eso. Básicamente cuando queremos que nuestros usuarios se conecten por VPN, aparte de tener un Server VPN, hay que darle permisos a los usuarios. Y la mejor forma para hacer eso es creando un grupo donde ponerlos a todos. Una vez creado el grupo vamos agregando o sacando usuarios de él según nuestras necesidades. Ahora tenemos que entregar los permisos de conexión a nuestros usuarios. Si tenemos un dominio 2000 o posterior la asignación de permisos se hace en base a las reglas que creamos en el Server VPN sin tener que configurar nada más. En cambio si estamos trabajando en una red sin dominio 2000 o postosterior tenemos que configurar manualmente a cada usuario para autorizar o restringir el derecho de conexión remota. Esto se hace en la ficha "Dial-In" de las propiedades de la cuenta del usuario. Para este ejemplo consideraremos una red sin dominio.Abramos la console "Computer Managemet" (StartControl PanelAdministrative ToolsComputer Management). Nos vamos al nodo "Local Users an Groups" e ingresamos al subnodo Users. Hacemos click derecho sobre el usuario que
54
queremos configurar y nos vamos a la ficha "Dial-In". Como ejemplo he creado un usuario llamado "VPN-User".
55
Como pueden apreciar la ficha "Dial-In" es el que regula los permisos de conexión para nuestros usuarios. En Windows Server 2003 viene por default seleccionada la opción "Control access through Remote Access Policy". Esta opción establece que el control de acceso es llevado por las reglas que se han establecido en el Server VPN. (Esta opción no esta disponible en ambientes Windows 2000 en los que no existe un dominio o en dominios 2003 y 2000 en modo mixto). La opción "Deny Access" nos da la posibilidad de denegar el permiso de conexión al usuario incluso si este tiene otorgado los permisos a través de reglas en el Server VPN.En resumen tenemos 2 opciones de control de acceso que se complementan entre si: Las reglas creadas en el Server y las propiedades de la cuenta de cada usuario. No es complicado entenderlo, pero es bueno dejarlo claro. En esta ficha no haremos cambios.Este ficha también nos entrega otras opciones: Callback options, Assign static IP Adress y apply statics Routes:Callback options es una opción que nos permite devolver la llamada a un cliente que se esta conectando por dial-up. Esto es: el usuario tiene una conexión telefónica a Internet y para conectarse a la empresa llama al servidor RAS. La empresa puede encargarse de los gastos económicos, por lo tanto cada vez que el usuario llame, el servidor cortará la llamada y devolvería la llamada con el fin de iniciar el establecimiento de la conexión. De esta forma el usuario no gasta dinero. Las opciones no las explicaremos ahora porque no están orientadas al manejo VPN de este ejemplo. (Para usar estas opciones el Server debe tener módems habilitados y configuradas las opciones Dial-UP).Assign a Static IP address nos da la posibilidad de asignarle siempre la misma IP a un usuario X. Apply Static Routes Da la opción de poder agregar rutas estáticas al usuario que se está conectando. Por defecto, cuando un usuario se conecta a la VPN, el programa (connectoid),que lo conecta, agrega las rutas que hacen referencia a la nueva red. Pero en algunos casos se podría necesitar agregar ciertas rutas cada vez que el usuario se conecte. Para eso sirve esta opción. Una vez chequeadas estas opciones y terminadas las últimas configuraciones se está en condiciones de decir que por parte de nuestra red ya esta todo habilitado para empezar a utilizar el Server VPNComo recomendación: PONER SIEMPRE LOS USUARIOS VPN DENTRO DE GRUPOS. Recuerden que pueden crear varios grupos de acceso VPN y varias reglas de Acceso VPN según sus necesidades, como por ejemplo: Necesitan que un grupo tenga acceso los 7 días de la semana, las 24hrs y necesitamos que algunos empleados tengan acceso solo los días laborales y en horario de oficina. Pues para eso creamos 2 grupos (uno para el primero y otro para el segundo) y creamos 2 reglas que cumplan con los criterios Configurando al cliente
Ahora tenemos que configurar los cliente para que se pueda conectar a la VPN de la empresa. Básicamente existen 2 posibilidades dependiendo del OS que estemos usando:(Concepto: la palabra CONNECTOID se refiere al software o asistente que nos permite conectar a la VPN)Windows XP y 2000 traen incorporado un asistente para la creación de nuevas conexiones. Este asistente incluye una opción para crear un connectoid VPN. La plataformas pre Windows 2000 no traen un asistente para la creación de connectoids VPN limitándose solo a la creación de conexiones Dial-UP. Para resolver esto Windows 2000 Server y Windows Server incorporan una herramienta llamada Connection Manager. Connection Manager es un programa que permite crear connectoids auto instalables y pre configurados. Estos connectoids pueden ser
56
posteriormente publicados e instalados en sistemas pre Windows 2000 sin problemas. Para este ejemplo crearemos un connectoid con Windows XP.Para crear un connectoid tenemos que ir a "StartControl PanelNetwork Connections" y elejir la opcion "New Connection Wizard". Una vez seleccionada la opción se abrirá el asistente para nuevas conexiones.
Después de la ventan de bienvenida el asistente nos da la opción de elegir el tipo de connectoid que queremos crear. Para poder generar el connectoid VPN tenemos que seleccionar la opción "Connect to the network at my workplace".
57
La siguiente ventana nos da la opción para elegir si el connectoid será de tipo VPN o Dial-Up. Para poder conectarnos al Server VPN tenemos que seleccionar la opción "Virtual Private Network connection".
La siguiente ventana es para ponerle nombre al connectoid que estamos haciendo. En este ejemplo le pondremos "VPN ETV".
Una vez ingresado el nombre para el connectoid el wizard nos guiará a la ventana siguiente. En esta ventana es donde ponemos la dirección IP valida en Internet de nuestro Server VPN, o sea la IP que esta configurada en la tarjeta INTERNET de nuestro Server. Es mas sano y de buenas costumbres poner un nombre DNS en esta ventana. Este nombre DNS debe ir asociado a la IP Internet de nuestro Server. El
58
motivo de recomendar poner un nombre DNS en vez de la IP es porque con DNS tenemos flexibilidad. Imagínense si configuramos el connectoid VPN para que se conecte a una dirección IP y no a un nombre DNS. Si por alguna necesidad se tiene que cambiar la IP Internet del Servidor, todos los connectoids que están apuntando a esa IP dejarán de funcionar, porque ya no podrán encontrar la IP del Servidor. Si en vez de configurar la IP configuro un nombre DNS el connectoid necesitará hacer una resolución de ese nombre cada vez que quiera conectarse y aunque se cambie la IP en el Servidor el cliente siempre será capaz de conectarse o por lo menos de resolverlo. En este ejemplo se indicará el nombre DNS porque ya tiene una infraestructura DNS creada. Para efectos de prueba ustedes pueden poner solo la IP, pero siempre deben considerar la recomendación anterior.NOTA: Si nuestro server VPN obtiene direcciones IP Internet dinámicamente y hemos configurado nuestros clientes para que apunten al nombre DNS del Server tenemos que ocupar algún tipo de mecanismo que actualice el registro DNS del Server cada vez que este cambie de IP.
Una vez ingresado el nombre DNS o la IP del Server, la siguiente ventana nos preguntará si queremos que el connectoid este disponible para cualquier persona o solo para el usuario que esta creando el connectoid. La elección depende de cada uno de ustedes y del criterio que estén aplicando. En este ejemplo seleccionaremos la opción "My use only". Seleccionar esta opción es indispensable si estamos creando el connectoid en alguna máquina que no es la personal, como por ejemplo máquinas de cyber cafés.
59
La ventan final es la ventan de resumen. En esta ventan se nos da la opción de crear un acceso directo al connectoid en el escritorio. Para este ejemplo seleccionaremos al opción "Add a shortcut to this connection to my desktop" con el fin de tener un acceso mas simple a nuestro connectoid. Presionamos el botón "Finish" para proceder con la creación.
Y listo !!! el connectoid VPN ya esta creado y listo para ser usado.
Comprobar funcionamiento
60
Bueno ya todo esta listo y dispuesto para crear la primera conexión VPN. Cuando pulsamos en el botón "Finish" del asistente de creación el sistema automáticamente abre el connectoid, como se muestra en la siguiente imagen
Hay propiedades que pueden ser modificados en el connectoid y que se accede mediante el botón "Properties" del connectoid. En este ejemplo no se verán, porque la configuración por defecto viene configurada para que funcione con el Server VPN que hemos configurado. En los campos "User name" y "Password" ponemos nuestras credenciales de acceso (el usuario y la clave que usamos en la red).La opción "Save this user name and password for the following users" nos permite guardar el usuario y la clave para no tener que escribirlas cada vez que inicias el connectoid. Esto no es seguridad. Recuerden que el connectoid es la llave de entrada a la empresa.Introducimos el usuario y la clave.
Si todo ha salido bien deberíamos poder ver lo siguiente:
Y luego junto a la hora, un icono de conexión de Red. Cuando aparece el icono con forma de 2 PCs junto a la hora la conexión VPN fue realizada con éxito y ya estamos conectados a nuestra empresa. La consola RRAS debería verse mas o menos así:
61
Ya tenemos conexión a nuestro VPN Server. Si pulsamos sobre el icono de conexión de red (el que posee 2 PCs ), que esta al lado de la hora, se podrá ver información asociada a la conexión, como la IP que dio el Server, la IP del Server, el protocolo de tuneling, el protocolo de encriptación, etc.Ahora se puede acceder a los recursos de la red corporativa desde cualquier lugar del mundo.
CONSIDERACIONES:1 - Si una vez conectados a la VPN, no se puede acceder a Internet, es normal por el siguiente motivo:
Una vez que se establece la conexión VPN el Connectoid rutea todos los paquetes hacia la red corporativa. Lo hace porque la finalidad de una VPN es extender la red corporativa hasta donde esté conectado el usuario para entregarle acceso a los recursos de la empresa como si estuviera en la red y se supone que el acceso Internet también es parte de los recursos de la empresa. Es por eso que se asume que la navegación por Internet será realizada a través de la VPN y no por la LAN y bajo las configuraciones y normas de la empresa.Este comportamiento se puede deshabilitar modificando las propiedades TCP/IP del connectoid VPN para que no use el default gateway que le entrega el Server VPN. NOTA: Si se hace esto estamos violando uno de los principios básicos de las VPN, la SEGURIDAD. Cuando realizamos este cambio nos exponemos a abrir la puerta de nuestra empresa si nuestra máquina es hackeada. Al deshabilitar este comportamiento le damos posibilidad al sistema operativo para que se comunique libremente con Internet sin ninguna característica de seguridad y solo se comunique con la red corporativa cuando lo necesite.No es recomendable cambiar el comportamiento, pero veamos dicha opción: nos vamos al icono de acceso directo que del connectoid que se creó en el escritorio y luego hacemos click sobre el botón "Properties" Una vez dentro de las propiedades del connectoid nos vamos a la ficha "Networking".
62
La propiedad que estamos buscando se encuentra dentro de TCP/IP. Hacemos doble click sobre "Internet Protocol (TCP/IP)" para ver sus propiedades. En la ventan de propiedades TCP/IP tenemos que hacer click sobre el botón "Advanced"
Veamos la opción a modificar. En la ventana "Advanced TCP/IP Settings" existe una ficha llamada "General". Es en esta ficha hay una opción con el nombre "Use default gateway on remote network". Esta opción es la que realiza el enrutamiento de todos los paquetes hacia la red corporativa, que se puede deshabilitar. Después de este cambio ya podremos navegar por Internet sin problemas. (pero arriesgando la VPN).
2 - Acceso a los recursos corporativos:Una vez conectados a la VPN se puede acceder a los recursos de la empresa, como por ejemplo, a los servidores de archivo, de impresión de correo, intranet, etc.Pero no todo es tan fácil. Los servidores Windows 2000 y posteriores resuelven los nombres de los servidores o de las máquinas a las que quieren acceder mediante DNS. Si no pueden contactarse con el DNS lo hacen a través de broadcast, wins y otros. Las máquinas anteriores a Windows 2000 no soportan resolución de nombre de máquinas por DNS y solo funcionan con broadcast, wins y archivos de resolución (host y lmhost).¿Como se debe hacer para que los clientes accedan sin tener en cuenta la versión de Windows que se tengan?Primero tenemos que tener una infraestructura DNS configurada. Segundo tenemos que tener una infraestructura WINS configurada. Y tercero tenemos que asignar todas estas opciones por DHCP. (El Server VPN toma un rango de IPs).NOTA: Si en el asistente seleccionamos la opción de entregar IP a nuestros clientes por medio de DHCP en Windows Server 2000, el DHCP debe estar en el servidor VPN o el Server VPN debe ser configurado como DHCP Relay Agent. En Windows
63
Server 2003 el asistente agrega automáticamente el componente DHCP Relay Agent. Si el Server VPN 2003 es también el Server DHCP, el asistente agregará automáticamente al mismo servidor VPN como un Server DHCP en el DHCP Relay Agent, sino lo debemos hacer a mano¿ Qué es un DHCP Relay Agent ?Es un sistema que detecta cuando una máquina está pidiendo IP. Toma dicha solicitud haciéndose pasar por un Server DHCP y luego la envía al verdadero Server DHCP. Es este servicio el que realiza todo el proceso de obtención y sesión de IP.Si se hace la configuración anterior lo mas probable es que nuestros clientes para poder conectarse a los recursos tengan que escribir la IP de la máquina y no el nombre DNS.
3- Configuración de la tarjeta de Red INTERNET:
La configuración de la tarjeta de Red de Internet es simple. Se debe configurar todos los datos si se tiene una IP fija (IP, DNS, Gateway, etc). Hay que preocuparse de desinstalar todos los protocolos de red y dejar solo el protocolo TCP/IP. Esto es porque no necesitamos tener servicios innecesarios utilizando esta red más que la VPN. Windows Server 2003 automáticamente crea unos filtros en el RRAS que se aplican a la tarjeta Internet para que solo deje pasar la comunicación VPN, pero igual debemos sacar todo lo innecesario:
También tenemos que deshabilitar Net BIOS sobre TCP/IP (NetBt) en esta tarjeta. Esto se hace entrando a las propiedades avanzadas de TCP/IP, ficha WINS. Ahí debemos deshabilitar NetBt:
Si el Server VPN esta detrás de un firewall y si el firewall esta bien configurado en teoría no deberíamos hacer esta configuración, pero está bien hacerlo para acostumbrarse a mantener ejecutándose en nuestras máquinas solo los servicios necesarios.NOTA: si la red interna tiene una infraestructura DNS implementada para resolución de nombres internos la configuración DNS de la nic conectada a Internet debe apuntar los Servers DNS internos.
4 - Deshabilitar Servicio NAT:
Como se comentó anteriormente Windows Server 2003 incorpora en el asistente de creación de un VPN server el servicio de NAT. En 2003 lo hicieron para facilitar el trabajo de los administradores. Aunque MS tenga toda la buena intención de facilitar la vida puede ser que en la mayoría de los casos no se quiera habilitar NAT. Pues bien, de ser así no queda otra opción más que deshabilitarla. Para deshabilitar el servcio de NAT nos vamos al nodo "IP Routing" de nuestra consola RRAS, luego hacemos click sobre el subnodo "NAT/Basic Firewall" y luego hacemos click derecho sobre la tarjeta de red de Internet y seleccionamos la opción "Properties" del menú que se desplegará:
64
Para poder deshabilita el servicio NAT basta con quitar la opción "Enable NAT on this interface"
Aceptamos todos los cambios y warnings que aparezcan y listo !!! ya deshabilitamos el NAT.
Este es el final del manual de construcción de VPN con servidores MS. Este ejemplo tiene por objetivo ser un step-by-step para la creación de VPNs MS y no incluye nada de planificación. He tratado de explicar lo mejor posible cada paso de la creación complementando con información anexo
65
