Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Por:
Gabriela Andreina Pérez Flores
Por:
Gabriela Andreina Pérez Flores
Carnet: 0134269
RESUMEN
aprovechar eficientemente todos los recursos con los que cuenta dicho sistema. De igual
forma, se establecieron nuevos servicios para facilitar y mejorar el desempeño de todos los
Palabras Claves
Redes, red de área local, integración, enlaces, servidores, dominio, monitoreo, telefonía IP.
INDICE DE FIGURAS V
CAPÍTULO I. INTRODUCCION 10
i
2.2 PROTOCOLOS DE RED 29
2.2.1 Descripción de los protocolos 31
2.2.1.1 Protocolos capa de aplicación 31
2.2.1.2 Protocolos capa de transporte 32
2.2.1.3 Protocolos capa de red (interred) 32
2.3 EQUIPOS 33
2.3.1 Servidores 33
2.3.1.1 Tipos de servidores 33
2.3.2 Dispositivos de enlace 35
ii
3.2.1.4 VPNs para conectividad con clientes 58
3.2.1.5 Segmentacion de redes de voz y datos 58
3.2.1.6 Servidor de correo electrónico 58
3.2.2 Aplicaciones y herramientas de desarrollo 59
3.2.2.2 VoIP 59
3.2.2.3 Monitoreo de red 60
3.2.2.4 Cambio de dominio 61
3.2.2.5 Sistema de gestión de seguridad 61
3.3 IMPLEMENTACION 63
3.3.1 Acceso a Internet 63
3.3.2 Interconexión de sucursales 64
3.3.3 Instalación servidor de correo electrónico 69
3.3.4 Integración de sistemas de telefonía y mensajería 73
3.3.5 Monitoreo de red 75
3.3.6 Sistema de gestión de seguridad 78
3.3.7 Cambio de dominio 79
REFERENCIAS BIBLIOGRAFICAS 95
BIBLIOGRAFIA 98
ANEXOS 99
iii
Anexo 5. Renombramiento de dominio 149
iv
INDICE DE FIGURAS
v
Figura 3.42: Flujograma de procesos de renombramiento de dominio ............................... 80
Figura 4.1: Esquema final de red......................................................................................... 83
Figura 4.2: Conexión VPN Comverse – Movilnet .............................................................. 85
vi
INDICE DE TABLAS
vii
SIMBOLOS Y ABREVIATURAS
viii
IMAP: Internet Message Access Protocol
IP: Internet Protocol
LAN: Local Area Network
LDAP: Lightweight Directory Access Protocol
MAC: Media Access Control
NIC: Network Interface Card
NNTP: Network News Transfer Protocol
NNTP: Network News Transport Protocol
NTFS: New Technology File System
OMA: Outlook Mobile Access
OSPF: Open Shortest Path First
OWA: Outlook Web Access
PAT: Port Address Translation
POP: Post Office Protocol
POP3: Post Office Protocol (version 3)
RAID: Redundant Array of Independent Disks
RPC: Remote Procedure Call
RUS: Recipient Update Service
SAN: Storage Area Network
SCSI: Small Computer System Interface
SLA: Service Level Agreement
SMTP: Simple Mail Transfer Protocol
SONET: Synchronous Optical Network
SQL: Structured Query Language
SSH: Secure SHell
SSL: Secure Socket Layer
TCP: Transmission Control Protocol
URL: Uniform Resource Locutor
VLAN: Virtual Local Area Network
VPN: Virtual Private Network
WWW: World Wide Web
ix
Capítulo I.
INTRODUCCION
Capítulo I. Introducción
1.1.1 Misión
1.1.2 Visión
11
1.1.3 Objetivos de la organización
12
1.2 DESCRIPCION DEL PROYECTO
1.2.1 Antecedentes
1.2.2 Definición
13
También se plantea la implementación de herramientas que permitan optimizar el
funcionamiento interno de la empresa orientado a la colaboración en el manejo de la
información.
1.2.3 Objetivos
14
- Llevar a cabo las pruebas de la red interna y verificar el funcionamiento integral
de los servicios instalados.
1.2.4 Justificación
Al ser Protokol GIT una empresa orientada a ofrecer soluciones para sectores como
telecomunicaciones, industria y comercio, petrolero, financiero, gobierno y educación, es
un requisito indispensable contar a nivel interno con servicios que le permitan mantener la
vanguardia como asesores en el desarrollo de los objetivos propuestos por los clientes de
manera efectiva y en el menor tiempo posible.
Para alcanzar esta meta, la red local debe funcionar eficaz y eficientemente para
cumplir con los objetivos para los que fue diseñada, por lo que fue necesario realizar
ciertas modificaciones a nivel de software y/o hardware, tanto en servidores como en las
distintas estaciones de trabajo.
1.2.5 Alcance
15
Capítulo II.
FUNDAMENTOS TEORICOS
Capítulo II. Fundamentos Teóricos
2.1.1 Clasificación
Las nuevas tendencias se inclinan a que estas redes operen de forma inalámbrica.
Estos sistemas proporcionan conectividad usuario a usuario y comunicaciones seguras,
soportando diferentes aplicaciones y escenarios de operación.
17
Redes de Área Local (LAN – Local Area Network)
Redes privadas que ocupan poca extensión geográfica, a través de las cuales se
interconectan equipos o estaciones de trabajo con el fin de compartir e intercambiar
información. Generalmente, la velocidad de transmisión de datos oscila entre 10 y 1000
Mbps, con poca latencia y mínimos errores.
Redes de alta velocidad, que surgen como evolución del concepto de Red de Área
Local para cubrir mayor extensión geográfica, abarcando un máximo de 50 Km. Presenta
capacidad de integración con múltiples servicios, sobre medios de transmisión tales como
fibra óptica y par trenzado de cables de cobre a velocidades que van desde 2 Mbit/s hasta
1500 Mbit/s.
Cliente-servidor
El uso de redes bajo este esquema presenta ventajas organizativas, ya que la gestión
de la información se realiza de forma centralizada, de manera que los accesos, los recursos
18
y la integridad de los datos son controlados por el servidor para evitar que clientes
defectuosos o no autorizados puedan corromper el sistema. También representa una ventaja
el hecho de que la capacidad de los procesos se reparte entre los clientes y servidores que
los ejecutan, permitiendo también aumentarlas por separado.
Dado que cada uno de los nodos puede comunicarse con los demás, la red sigue
funcionando si algún nodo deja de hacerlo, por lo que se utilizan generalmente para
compartir archivos que contienen audio, video, texto, software y datos en cualquier
formato digital.
El ancho de banda de la red depende del número de nodos que la componen, siendo
mayor mientras hay más nodos. Debido a ésto y a la estructura de interconexión, la
transmisión de datos es más eficiente.
19
Clasificación de redes P2P:
Una posible clasificación de las redes P2P pudiera ser acorde a su grado de
centralización:
Presentan un nodo central que enlaza a los demás nodos, a través del cual se accede
al contenido y se gestionan todas las transacciones, tal como se muestra en la figura 2.2.
No utilizan la figura de nodo central, sino que los usuarios se comunican entre sí de
manera directa, como se observa en la figura 2.3.
20
Figura 2.3: Red P2P descentralizada
De esta manera, los equipos de la red actúan como clientes y servidores de manera
simultánea; al no requerir ningún tipo de gestión centralizada, estas redes son más
versátiles.
En caso de fallas en estos nodos centrales, los demás elementos de la red tienen la
capacidad de comunicarse entre sí tal como en el caso de las estructuras descentralizadas.
21
2.1.1.3 Según su estructura
El modelo OSI, que no es considerado una arquitectura de red como tal, define una
estructura de capas indicando las responsabilidades de cada una de ellas, mas sin
especificar los servicios y protocolos exactos que se utilizaran en cada capa.
En esta estructura de red, cada capa del modelo utiliza una abstracción diferente, y
realiza una función bien definida, con límites fijados a fin de minimizar el flujo de
información a través de las interfaces. En la figura 2.5 se observa la distribución de las
capas de este sistema.
22
Capa de red: Esta capa controla el enrutamiento de los paquetes, bien de manera
estática o dinámica, utilizando un direccionamiento lógico. También es capaz de manejar
los problemas de congestión. [2]
Capa de transporte: Maneja los datos, los entrega y se asegura de que lleguen
correctamente a la siguiente capa. También determina el tipo de servicio que debe
proporcionar a la capa de sesión y finalmente a los usuarios de red. [2]
Capa de sesión: Esta capa establece conexiones lógicas entre puntos de la red,
permitiendo que usuarios en máquinas diferentes establezcan sesiones entre ellos. Se
encarga de ofrecer servicios como control de diálogo, administración de token, y
sincronización. [2]
Capa de aplicación: Aloja los protocolos y programas de red que interactúan con
el usuario, como el protocolo HTTP (Protocolo de Transferencia de HiperTexto o
HyperText Transfer Protocol). [2]
La figura 2.6 muestra la transmisión o el flujo de los datos a través de las capas del
modelo de referencia OSI. [3]
23
Figura 2.6: Flujo de datos en modelo OSI
La figura 2.7, por su parte, muestra cómo se manejan los datos dentro de cada una
de las capas del modelo OSI.
24
En la figura se distinguen los siguientes elementos:
Se observa entonces que cada capa del modelo OSI maneja los datos según los
esquemas de comunicación de cada una de ellas, colocando bits de encabezado,
dividiéndolos en subconjuntos de datos o agrupándolos, para ser transmitidos a su destino.
Capa física (host a red): Puntualiza que el host debe conectarse a la red mediante
el mismo protocolo para poder enviar y recibir paquetes IP.
25
Capa de interred: Permite el acceso de los paquetes desde la red de origen hasta la
red de destino. Aquí se define el protocolo IP (Protocolo de Internet o Internet Protocol)
para los paquetes que van a ser entregados.
Los protocolos asociados con el modelo OSI ya casi no se usan, pero el modelo en
si es muy general y muy valido. Por el contrario, el modelo TCP/IP no se usa mucho como
tal, pero sus protocolos si.
Topología en Estrella
En este tipo de redes, todos los equipos se conectan a un nodo central sin estar
conectados entre sí. El nodo central (constituido por un concentrador o por un switch) se
encarga de gestionar el tráfico de paquetes entre los demás nodos, de manera que su
principal ventaja radica en que el mal funcionamiento de un nodo no afecta el desempeño
del resto de la red, mientras que su mayor desventaja se basa en la falla de la red entera en
caso de una posible falla en el nodo central. La figura 2.9 muestra el esquema de
conexiones de los equipos en esta topología.
26
Figura 2.9: Red en estrella
Esta red crea una mayor facilidad de supervisión y control de información ya que
para pasar los mensajes deben pasar por el hub o concentrador, el cual gestiona la
redistribución de la información a los demás nodos. La fiabilidad de este tipo de red
consiste en que el malfuncionamiento de un computador no afecta en nada a la red entera,
puesto que cada ordenador se conecta independientemente del hub.
Topología en Bus
Topología en Anillo
Estas redes presentan equipos conectados con sus adyacentes en forma de bucle
cerrado o anillo. En la figura 2.11 se muestra un ejemplo de este tipo de redes.
27
Figura 2.11: Red en anillo
Topologías híbridas
28
2.1.1.5 Según las técnicas de transmisión
Presentan un único canal de comunicación, compartido por todos los usuarios. Los
paquetes que se transmiten a través de estas redes son recibidos por todas las máquinas,
pero los campos de dirección que lo identifican permiten que el destinatario lo reconozca y
lo procese, mientras que los demás usuarios lo descartan. Los mensajes también pueden ser
enviados a un subconjunto de máquinas, lo cual se conoce como multidifusión
(multicasting).
Para el modelo OSI, se utilizan distintos protocolos inherentes a las capas de red del
mismo, entre los cuales se destacan los mencionados en la tabla 2.1:
29
Tecnologías y protocolos de red (según modelo OSI)
DNS, FTP, HTTP, IMAP, IRC, NFS, NNTP, NTP, POP3,
Nivel de aplicación
SMB/CIFS, SMTP, SNMP, SSH, Telnet, SIP
Nivel de ASN.1, MIME, SSL/TLS, XDR
presentación
Nivel de sesión NetBIOS, ONC RPC, DCE/RPC
Nivel de transporte SCTP, SPX, TCP, UD
Nivel de red AppleTalk, IP, IPX, NetBEUI, X.25
Nivel de enlace ATM, Ethernet, Frame Relay, HDLC, PPP, Token Ring, Wi-Fi,
STP
Nivel físico Cable coaxial, Cable de fibra óptica, Cable de par trenzado,
Microondas, Radio, RS-232
Para el modelo TCP/IP, los principales protocolos de cada capa son los siguientes:
30
2.2.1 Descripción de los protocolos [5]
SMTP: Protocolo utilizado por los servidores de servicio de correo electrónico para
intercambiar mensajes, que establece el formato y la transferencia de datos en el envío de
los mismos. Esta comunicación normalmente se lleva a cabo utilizando el puerto 25, y se
basa en el modelo cliente-servidor.
31
Con el tiempo se han ido agregando otros protocolos tales como NNTP, USENET,
entre otros.
32
2.3 EQUIPOS
2.3.1 Servidores
Servidor de correo
POP (Protocolo Post Oficina o Post Office Protocol): Protocolo que descarga los
mensajes desde el servidor a la máquina del usuario. No necesita una conexión permanente
a Internet; ésta es necesaria únicamente al momento de hacer la solicitud al servidor de
correo de transferir los mensajes almacenados. También permite la posibilidad de acceder
a los mensajes vía web.
33
instantáneamente, sin necesidad de descargarlos. Al utilizar IMAP, los clientes
permanecen conectados el tiempo que su interfaz permanezca activa y descargan los
mensajes bajo demanda.
Servidor Web
También pueden utilizarse aplicaciones web que se ejecuten bajo ciertas peticiones
o respuestas HTTP. Estas aplicaciones pueden estar tanto del lado del servidor como del
cliente, siendo estas por ejemplo las que corren bajo Java 1 . Aquellas del lado del servidor
se ejecutan y generan un código HTML que es enviado al cliente mediante el protocolo
HTTP, de manera que cualquier cliente pueda utilizarlas, sin necesitar capacidades
adicionales de software.
Servidor de aplicaciones
1
Java: lenguaje de programación orientado a objetos.
34
aplicaciones (API) para permitir compatibilidad con los diferentes sistemas operativos o
interfaces web.
Repetidores
Equipo que se encarga de reenviar paquetes de datos a los equipos para los que van
destinados, reconociéndolos según los campos de las direcciones IP.
35
Los switches de red presentan dos arquitecturas básicas: "Cut-Through" y "Store-
and-Forward".
Puentes o bridges
Equipos utilizados para interconectar segmentos de red, con el fin de aislar las
colisiones que se produzcan en los segmentos interconectados entre si aunque el tráfico no
sea excesivamente alto.
Los bridges trabajan a nivel de la capa 2 del modelo de referencia OSI, con
direcciones físicas para comunicar los segmentos, filtrando tráfico. No filtra los
broadcasts, que son paquetes genéricos que lanzan los equipos a la red para que algún otro
les responda (aunque puede impedir el paso de determinados tipos de broadcast), por lo
que, al interconectar segmentos de red con bridges, podemos tener problemas de tormentas
de broadcasts, de saturación del puente por sobrecarga de tráfico, etc.
Enrutadores o routers
Equipos que interconectan tanto segmentos de red como redes diferentes entre sí,
eligiendo el mejor camino para enviar la información, al tiempo que balancean el tráfico
entre las líneas. Estos equipos trabajan a nivel de la capa 3 del modelo de referencia OSI,
siendo capaces de filtrar protocolos y direcciones a la vez.
36
Poseen una entrada con múltiples conexiones a segmentos remotos, garantizan la
fiabilidad de los datos y permiten un mayor control del tráfico de la red. Su método de
funcionamiento es el encapsulado de paquetes.
El espacio que abarcan dichos nombres de dominio está conformado por una
estructura de árbol, donde cada nodo presenta uno o más registros de recursos que
contienen información asociada a los nombres de dominio.
37
Para su funcionamiento, el DNS utiliza tres componentes principales:
Base de datos distribuida entre distintos servidores. Funciona bajo una estructura
jerárquica con forma de árbol que clasifica los distintos dominios en niveles, como se
muestra a en la figura 2.14:
38
Diferentes porciones de los espacios de nombres de dominio se encuentran bajo
responsabilidad de servidores DNS, las cuales reciben el nombre de “Zonas de Autoridad”.
La zona de autoridad de estos servidores abarca al menos un dominio y también pueden
incluir subdominios; aunque generalmente los servidores de un dominio delegan sus
subdominios en otros servidores.
Los dominios de primer nivel (Top-Level Domains) han sido clasificados tanto en
función de su estructura organizativa como geográficamente, como en los siguientes
ejemplos:
Geográficamente:
Cuando se solicita una consulta a cualquier nombre de dominio, los servidores raíz
pueden al menos proporcionar los nombres y direcciones de los servidores de nombres
autoritarios para el dominio de primer nivel al que pertenece el nombre de dominio
buscado, mientras que los servidores de nombres de primer nivel pueden proporcionar la
lista de servidores de nombres autoritarios para el dominio de segundo nivel al que
pertenece el nombre de dominio buscado. De esta forma, cada servidor de nombres
consultado va proporcionando la información más próxima a la respuesta buscada, o
proporciona la propia respuesta.
39
2.4.2 Correo electrónico
40
La estructura organizativa del directorio activo está conformada por tres elementos
fundamentales: bosques, árboles y dominios. Los bosques están constituidos por todos los
objetos del directorio, junto con sus atributos y reglas. Contienen uno o más árboles,
vinculados entre sí a través de relaciones de confianza. Cada árbol a su vez contiene uno o
más dominios que también se encuentran vinculados entre sí a través de jerarquías de
confianza transitivas. Los dominios se identifican a partir de su estructura de DNS.
FSMO Roles
Los roles Flexible Single Master Operations (FSMO) o roles de Maestro de Operaciones
son funciones asignadas a los controladores de dominio para realizar las actualizaciones en
el esquema del directorio, como se muestra en la tabla 2.5:
41
Cada página web tiene asociada una única dirección URL (Uniform Resource
Locator o Localizador Uniforme de Recursos) que permite que los navegadores las
encuentren y las muestren. A su vez, esta dirección está asociada a una dirección IP,
traducida por el DNS para contactar al servidor web que contiene la información e
intercambiar los paquetes de datos.
2.4.5 Multimedia
42
Este sistema es compatible con los sistemas telefónicos tradicionales de la Red
Pública de Telefonía Conmutada o Public Switched Telephone Network (PSTN), utilizando
los dispositivos adecuados. Las llamadas entre dos usuarios de telefonía VoIP son
gratuitas, mientras que entre usuarios de PSTN y de VoIP generan costos para este último.
Existen dos tipos de servicio de PSTN a VoIP: Llamadas Locales Directas (Direct
Inward Dialling o DID) y Números de acceso. DID conecta a quien hace la llamada
directamente al usuario VoIP mientras que los Números de Acceso requieren que se
introduzca el número de extensión del usuario de VoIP. Los Números de acceso son
usualmente cobrados como una llamada local para quien hizo la llamada desde la PSTN y
gratis para el usuario de VoIP.
Los equipos terminales, que para el sistema PSTN son los teléfonos, en VoIP
pueden implementarse también mediante software, como es el caso del IP SoftPhone de
Cisco. Es importante tomar en cuenta que el uso de éstos depende de su conexión a la red,
ya que si no están conectados no puede establecerse comunicación.
Recomendación H.323
43
Su uso en aplicaciones de VoIP se basa en establecer normas referentes a
codificación de voz, establecimiento de llamadas, señalización, transporte de datos,
terminales y equipos, a la vez que permite el control de tráfico de la red, lo cual disminuye
las posibilidades de que se produzcan caídas importantes en el rendimiento; sin embargo,
no es posible garantizar calidad de servicio, dadas las características de las redes IP.
Este sistema se utiliza en aspectos del sector comercial tales como presentaciones,
conferencias, aprendizaje vía web o E-Learning, entre otros.
44
El concepto de streaming media se basa en presentar multimedia continuamente a
los usuarios a medida que es enviada. El nombre hace referencia al método de entrega más
que a la media en sí. En general, el contenido multimedia necesita mucho espacio
disponible para su almacenamiento, por lo que los costos de almacenamiento transmisión
son significativos, utilizando diversos métodos de compresión.
El media stream puede ser en vivo o bajo demanda. Para la transmisión “bajo
demanda”, los contenidos se almacenan en servidores por largos periodos de tiempo y
están disponibles para ser transmitidos bajo solicitud de los usuarios. Para la transmisión
“en vivo”, los contenidos se encuentran disponibles únicamente en un momento
determinado. La aplicación cliente puede ir presentando o utilizando los datos sin
necesidad de descargar la información completamente.
Dispositivos de capa de red: enrutadores. Puede ser compatible con los distintos
formatos de paquetes, y manejar múltiples protocolos.
45
Dispositivos de capa de aplicación: puertas de enlace (gateways) de aplicación.
Traducen semánticas del mensaje.
Las redes privadas virtuales (VPN) son conexiones virtuales creadas utilizando la
infraestructura de otras redes para permitir el tráfico de datos de manera segura entre los
dos extremos, en un entorno privado y confidencial. [12]
VPN de acceso remoto: establece conexiones entre equipos remotos utilizando Internet
como vínculo de acceso.
VPN punto a punto: establece conexiones entre equipos remotos a través de una sede
central.
46
Implementación basada en software: son más configurables, y permiten mayor
compatibilidad debido a la posibilidad de actualización. Actualmente, las tendencias se
inclinan hacia los productos de código abierto.
IPSec
PPTP
PPTP fue diseñado para permitir a los usuarios conectarse a un servidor RAS
(Remote Access Server - Servidor de Acceso Remoto) desde cualquier punto en Internet
para tener la misma autenticación, encriptación y los mismos accesos de LAN como si
discaran directamente al servidor.
L2TP
Este protocolo facilita la creación de un túnel para los paquetes a través de una red,
de manera tal que sea lo más transparente posible a los usuarios de ambos extremos del
túnel y para las aplicaciones que éstos corran.
47
Se requiere que el protocolo de transporte de L2TP tenga la posibilidad de brindar
servicios de encriptación, autenticación e integridad para el paquete L2TP en su totalidad.
Como tal, L2TP sólo se preocupa por la confidencialidad, autenticidad e integridad de los
paquetes L2TP entre los puntos extremos del túnel, no entre los extremos físicos de la
conexión.
Las redes virtuales de área local (VLAN) son redes lógicas definidas dentro de
redes físicas, independientemente de si la comparten o no, mediante el uso de software.
Estos segmentos lógicos no pueden intercambiar información entre si utilizando la red
física, mas podrían hacerlo a través de un router.
48
Al contratar un servicio Frame Relay, se contrata un ancho de banda determinado
en un tiempo determinado, o ancho de banda promedio, llamado CIR (Commited
Information Rate), garantizado por el Proveedor de Servicios de Internet (Internet Service
Provider o ISP) bajo condiciones normales de operación. Suele presentarse una asignación
adicional de ancho de banda llamada EIR (Excess Information Rate o Tasa de Exceso de
Información) que se utiliza para controlar la velocidad de transmisión de datos cuando no
existe congestión en la red.
El valor resultante de sumar el CIR más el EIR es igual o menor a la velocidad del
puerto de acceso a la red, como lo ilustra la figura 2.16 [14].
Originalmente, la tecnología Frame Relay fue diseñada para ser utilizada a través
de las ISDN (Interfaces de la Red Digital de Servicios Integrados). Hoy en día, se utiliza
también a través de una gran variedad de interfaces de otras redes.
49
de la red de manera dinámica, así como el ancho de banda disponible. Los paquetes de
longitud variable se utilizan en transferencias más eficientes y flexibles. Posteriormente,
estos paquetes se conmutan entre los diferentes segmentos de la red hasta que llegan a su
destino. [15]
SNMP es un protocolo utilizado por sistemas de gestión de red, que comunica los
elementos de red entre sí y permite tener datos concretos del tráfico que se produce en la
red, así como quien lo produce. Para que esto funcione, los elementos de red deberán estar
equipados con un agente SNMP que debe ser activado y configurado para comunicarse con
el sistema de gestión de red (por lo general vienen integrados y preconfigurados).
50
Un equipo monitoreado es un nodo de red que contiene un agente SNMP, que
recopilan y almacenan información para ponerla a disposición de los sistemas de gestión.
Estos equipos pueden ser routers, servidores de acceso, switches, bridges, hubs, teléfonos
IP, impresoras, entre otros.
51
Capítulo III.
DESARROLLO DEL PROYECTO
52
Capítulo III. Desarrollo del proyecto
En este capítulo se explica la metodología utilizada para cumplir con los objetivos.
Se describe la situación inicial de la empresa, los requerimientos de software y hardware
indispensables para cumplir con los objetivos propuestos y la implementación de los
cambios necesarios para dicho fin.
53
Esta red presenta una topología híbrida y en cuanto al método de transmisión de
datos se considera una red de difusión, con una relación funcional cliente-servidor.
Esta red contaba con 12 servidores, organizados como lo muestra la tabla 3.1:
54
Inicialmente, la red contaba con dos enlaces de banda ancha ABA de 2084 Kbps de
velocidad de transmisión de datos. Estos enlaces presentaban mucha inestabilidad, siendo
la caída del servicio de correo electrónico la consecuencia más crítica. Los enlaces no
proporcionaban suficiente ancho de banda para el tráfico de datos que generaban los
usuarios de la red, y el servicio presentaba constantes fallas o intermitencias que afectaban
la conectividad, por lo que se plantea instalar un enlace de Internet dedicado basado en la
tecnología Frame Relay, el cual constituye un servicio que cubre eficientemente los
requerimientos de confiabilidad y estabilidad de conexión.
55
3.2 REQUERIMIENTOS DE DISEÑO
La DMZ o Zona Desmilitarizada2 presente en la red local como una subred que
contiene únicamente servidores que necesitan acceso desde redes externas, contenía las
aplicaciones de correo electrónico y servidor web en una sola máquina, siendo la principal
desventaja de esta configuración que la probabilidad de fallas a nivel de hardware afectaría
a dos aplicaciones importantes de la red.
2
Zona Desmilitarizada: subred ubicada entre la red interna de una organización y la red externa, aislándolas
para proteger el acceso hasta la red interna.
56
En el caso de Protokol, se decidió colocar un Frame Relay de 648/512 Kbps
dedicados (siendo 648 Kbps la velocidad máximo y 512 la mínima). Este equipo otorga 8
direcciones IP públicas y fijas, que permiten crecimiento a nivel de servicios de red
accesibles, tales como DNS externo, establecimiento de túneles VPN,
Webcasting/Webstreaming, y herramientas de colaboración en línea.
Para unificar las dos redes en cuanto a esquema y equipos, se colocaron Firewall
Fortinet en cada sede. A través de éstos se establecen túneles VPN que permiten establecer
conexiones directas, Lan-to-Lan, compartiendo así los anchos de banda de las redes. De
esta manera, es posible incluso hacer llamadas IP asignando a los usuarios de la sede de
Puerto Ordaz un número de extensión telefónica dentro del mismo rango de la sede de
Caracas, reduciendo costos en llamadas de larga distancia.
57
3.2.1.4 VPNs para conectividad con clientes
58
Se decidió instalar el nuevo servidor de correo basado en el sistema operativo
Microsoft Windows Server 2003 y el software Microsoft Exchange 2003 Server para la
creación y administración de los buzones de correo electrónico, debido a que tanto el
sistema operativo como el software eran de ampliamente conocidos para los
administradores de la red, además de ser sistemas bastante estables.
3.2.2.2 VoIP
El acceso a estas herramientas se lleva a cabo a través de una interfaz web, con
posibilidad de acceso remoto. Todas las actividades de administración del sistema, como el
control del espacio en el disco, la supervisión del sistema y las actualizaciones, están
59
automatizadas o se controlan a través de una GUI (Graphic User Interface o interfaz
gráfica de usuario).
Se puede acceder a la aplicación a través una interfaz web, que permite observar el
estado actual de la red, registros, historiales y reportes.
60
- Soporte para implementación de servidores redundantes.
- Interfaz web para revisar el estado de la red, notificaciones, historial,
archivos de registro, etc.
- Licenciamiento de Uso Gratis.
En el esquema de red inicial, los servidores, las aplicaciones y los equipos de la red
pertenecían al dominio público protokolgroup.com, mientras que las estaciones de trabajo
pertenecían al dominio local protokol.com. Ésta configuración no causaba problemas,
pero no era la más eficiente, ya que los usuarios se registraban al dominio local al acceder
a las máquinas, pero también debían autenticarse contra el directorio activo del dominio
público al momento de descargar correo electrónico o acceder a las carpetas compartidas,
por ejemplo. En muchos casos, las contraseñas de acceso de cada usuario eran diferentes
para cada dominio.
61
En resumen, esta aplicación realiza una revisión periódico de la red (la frecuencia
con la que se realiza es fijada por el administrador de la misma), se asegura de que todos
los equipos tengan sus antivirus actualizados, y repara o remueve aquellos archivos y
aplicaciones que son potencialmente dañinas para la red. Asimismo, envía reportes vía e-
mail a los administradores de la red, advirtiendo de amenazas en esta, o simplemente
informando sobre el status de la misma.
62
3.3 IMPLEMENTACION
La salida a Internet, que antes se lograba a través de dos módems ABA, ahora se
lleva a cabo a través de un Frame Relay de y un módem ABA de redundancia. Para ésto,
una vez establecido el enlace Frame Relay desde el Core Switch, se especificaron reglas en
el Firewall para permitir que los usuarios utilicen la ruta del Frame Relay para conectarse a
Internet, y en caso de fallas en este equipo, accedan a través del módem ABA.
63
Estos puertos corresponden a:
De esta manera, la regla establece que las conexiones salientes de los miembros de
la red privada se realizan a través del Frame Relay, de la misma manera que el servidor de
correo electrónico tanto en conexiones entrantes como salientes. En caso de fallas, las
conexiones pasarían a través del puerto 3 destinado al ABA.
El equipo tiene la posibilidad de establecer túneles VPN bajo los protocolos IPSEC,
PPTP y/o SSL. En este caso, el túnel VPN que conecta las sucursales de Protokol se
estableció bajo el protocolo IPSEC.
64
Figura 3.4: Asignación de políticas con origen puerto 1 y destino puerto 2
Para la creación del túnel VPN, se crearon dos directivas agrupadas para cada
sucursal, donde se establecen las conexiones seguras entre ellas, como se muestra en las
figuras 3.6 a 3.12:
65
Figura 3.6: Redes Privadas Virtuales definidas
66
Figura 3.8: Direccionamiento de Red Privada Virtual Caracas
67
Figura 3.10: Red Privada Virtual Puerto Ordaz
68
Figura 3.12: Propiedades de Red Privada Virtual Puerto Ordaz
69
Instalación Exchange Server
Windows Server 2003
2003
Ejecucuón
Configurar discos asistente de
(RAID5) instalación del
sistema operativo
No Activar
Form-based
Authentication
Dividir disco duro
en dos particiones
de igual tamaño
Comprobar
servicios Web del
servidor
“Formatear la
partición utilizando
el sistema de
archivos NTFS”
RPC sobre HTTP
Detección e
instalación de
dispositivos Comprobar
servicio
Establecer
configuración Exchange Server
regional e idioma Activo
Introducir de clave
de producto y
modo de licencia
(por plaza)
Establecer
nombre de equipo
y contraseña
Sistema
operativo
instalado
70
El equipo cuenta con una tarjeta Smart Array 6 (controladora de discos), que
permite almacenar la información en arreglos de discos externos denominados RAID
(Redundant Array of Independent Disks o conjunto redundante de discos independientes).
El servidor de correo Exchange 2003 debe ser capaz de almacenar bases de datos y
archivos de procedimientos de manera confiable, por lo cual se deben usar configuraciones
RAID1 o RAID5 para asegurar la data en caso de fallas de disco duro.
En este caso se utilizó una configuración RAID5 mediante tres discos de 32 GB,
donde la unidad lógica de redundancia tiene capacidad de 32 GB, mientras que los 64 GB
restantes se ven como una sola unidad. Esta configuración se llevó a cabo utilizando el
aplicativo SmartStart® de HP.
Para la configuración del disco duro del servidor se establecieron dos particiones,
cada una de las cuales está dispuesta para trabajar bajo el sistema de archivos NT (NTFS).
El programa de instalación de Windows Server 2003 crea las particiones del disco en el
equipo, da formato a la unidad y copia los archivos de instalación del CD al servidor. De
esta manera, el primer disco o partición contiene Windows Server 2003, archivos de la
infraestructura común (como los paquetes de Windows Installer) y los archivos de registro
de Active Directory, mientras que la segunda partición contiene los archivos de instalación
de Exchange 2003 Server.
71
Requisitos del sistema:
Enterprise Datacenter
Requirement Standard Edition Web Edition
Edition Edition
133 MHz for x86- 400 MHz for x86-
based computers based computers
Minimum CPU
133 MHz 733 MHz for 733 MHz for 133 MHz
Speed
Itanium-based Itanium-based
computers* computers*
Recommended
550 MHz 733 MHz 733 MHz 550 MHz
CPU Speed
Minimum RAM 128 MB 128 MB 512 MB 128 MB
Recommended
256 MB 256 MB 1 GB 256 MB
Minimum RAM
32 GB for x86- 64 GB for x86-
based computers based computers
Maximum RAM 4 GB 512 GB for 512 GB for 2 GB
Itanium-based Itanium-based
computers* computers*
Minimum 8
Multiprocessor
Up to 4 Up to 8 required Up to 2
Support **
Maximum 64
1.5 GB for x86- 1.5 GB for x86-
based computers based computers
Disk Space for
1.5 GB 2.0 GB for 2.0 GB for 1.5 GB
Setup
Itanium-based Itanium-based
computers* computers*
Tabla 3.5: Requisitos del sistema para las versiones de Windows Server 2003
72
Component Requirement
133-MHz or faster processor for x86-based PCs; 733-MHz for
Computer and
Itanium-based PCs; up to eight processors supported on either the
processor
32-bit or the 64-bit version
128 MB of RAM minimum required; maximum: 32 GB for x86-
Memory based PCs with the 32-bit version and 64 GB for Itanium-based PCs
with the 64-bit version
1.5 GB of available hard-disk space for x86-based PCs; 2 GB for
Hard disk Itanium-based PCs; additional space is required if installing over a
network
Drive CD-ROM or DVD-ROM drive
Display VGA or hardware that supports console redirection required
Windows Server 2003 Enterprise Edition, 64-bit version is
Other compatible only with 64-bit Intel Itanium-based systems and cannot
install on 32-bit systems
Para instalar y configurarlos servicios de telefonía IP, se llevó a cabo el proceso que
se observa en la figura 3.24:
73
Figura 3.24: Flujograma de integración de sistemas de telefonía IP
74
Para integrar los sistemas de Cisco Unity y Cisco CallManager es necesario contar
con la versión 4.1.3 de este último. Hasta el momento de la verificación, la versión
instalada era 4.1.2, por lo que se ejecutó la herramienta Cisco Upgrade Unity, ubicada en la
ruta Inicio/Programas/Cisco Systems, Inc. Esta herramienta permite determinar si el
servidor Callmanager cumple con los requisitos de hardware y software indispensables
para ejecutar el upgrade a la versión 4.1.3.
75
Figura 3.25: Flujograma de instalación sistema operativo Fedora 7
76
Nagios
Instalar servidor
web, compilador
C, librería GD
Crear cuenta de
usuario y
contraseña
Descargar
paquetes de
instalación
Compilar archivos
de instalación
Reiniciar el
servicio web
(Apache)
Comprobar
Service httpd
configuración de getenforce 1 Setenforce 0
restart
SELinux
Service nagios
start
Nagios iniciado
Para llevar a cabo la instalación del sistema, es necesario que el equipo corra bajo
ambiente Linux y con un compilador C. En nuestro caso, el servidor destinado para correr
la aplicación utiliza Fedora 7 como sistema operativo y compilador GCC, además del
servidor web Apache, y la librería GD versión 1.6.3.
77
El sistema operativo también debe tener configurado TCP/IP, ya que la mayoría de
los chequeos de servicios se llevan a cabo sobre protocolos de red.
• Espacio libre en disco: 500 MB como mínimo (primera instalación); 650 MB como
mínimo (actualización); se recomienda 2 GB
• Memoria: 512 MB de RAM disponible; se recomienda 1 GB
• Procesador: Intel® Pentium® II o superior; 450 Mhz o superior
• Servidor dedicado recomendado: si administra más de 250 computadores cliente,
McAfee recomienda usar un servidor dedicado
• Microsoft® Windows® 2000 Server/Advanced Server con Service Pack 3 o
superior, Microsoft Windows 2003 Enterprise/Standard/Web
• Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) con Service Pack 3,
Microsoft SQL Server Standard/Enterprise Edition con Service Pack 3
• SQL2005 SP1
78
• Microsoft Windows 2000 Server/Advanced/Professional/Terminal con Service
Pack 3 o superior, Microsoft Windows Server 2003 Standard/Enterprise/Web,
Microsoft Windows XP Professional con Service Pack 1.
Habiendo confirmado que el servidor cumple con los requisitos, el siguiente paso
previo a la instalación del software fue asegurarse de haber instaladas todas las
actualizaciones para Windows 2003 Server. Se evitó utilizar el puerto 80 para cualquier
comunicación HTTP vía ePO, ya que dicho puerto puede ser desactivado en caso de un
ataque de virus. Uno de los requerimientos indispensables para instalar ePO con éxito, es
instalar un software de base de datos, que en este caso fue SQL 2000 Server.
79
Figura 3.42: Flujograma de procesos de renombramiento de dominio
80
Estos procedimientos incluyen la creación de relaciones de confianza entre el
dominio a ser renombrado y el dominio principal (que se desea mantener), y la revisión de
los procesos previos y posteriores al renombramiento.
81
Capítulo IV.
ANALISIS DE RESULTADOS
Capítulo IV. Análisis de resultados
83
SERVIDOR ALIAS MODELO DIRECCION IP DIRECCION MAC APLICACIONES
E-Mail PTKMAIL ML 350 10.10.10.2 Servidor de correo
WebSite WEBSITE ML 350 10.10.10.4 Servidor web
Unity UNITY MCS 10.10.10.5 Cisco IP Unity
Call Manager CALLMANAGER MCS 192.168.0.242 000D60ECD692 Cisco IP CallManager
Sun AAA AAA 192.168.0.208 Pruebas AAA
File Server PTKFILE ML 350 192.168.0.203 000E7FFF0290 Archivos
Operaciones PTKOPERACIONES ML 350 192.168.0.205 000BCDCB6BB7
Nagios NAGIOS ML 150 192.168.0.210 Nagios
Finanzas PTKFLEX ML 150 192.168.0.206 001321B40623 Flexline
Antivirus / Antispam ePO ML 150 192.168.0.200 McAfee ePO
Lan Services PTKPDC ML 350 192.168.0.202 Servicios de impresión
La conexión del túnel VPN entre Protokol y su cliente final Movilnet se ilustra en
la figura 4.2:
84
Figura 4.2: Conexión VPN Comverse – Movilnet
85
Por otra parte, las conexiones de cada uno de los equipos al switch se presentan en
la tabla 4.5:
Para separar los segmentos de datos de los segmentos de voz, se dividió la red
lógica en dos redes virtuales de área local, siendo la distribución definitiva la mostrada en
las tablas 4.6 y 4.7:
86
Grupo Sub-grupo IP Address Equipo
192.168.1.0
192.168.1.1 PTKSERVICES
192.168.1.2 PTKFILE
192.168.1.3 PTKBDC
192.168.1.4 PTKPDC
192.168.1.5 DESARROLLO2
192.168.1.6 PTKFLEX
192.168.1.7 Exchange
192.168.1.8 Web
Servidores 192.168.1.9 IP Unity
192.168.1.10 IP CallManager
192.168.1.11 ePO
192.168.1.12 Nagios
192.168.1.13 SunServer_P
192.168.1.14
192.168.1.15
…
192.168.1.28
Direcciones
fijas / 192.168.1.29 Core Switch
servidores 192.168.1.30 Switch Catalyst 2
192.168.1.31 Switch Catalyst 3
192.168.1.32 Switch Catalyst 4
Dispositivos
de red 192.168.1.33 Access Point PB
192.168.1.34 Access Point 1
192.168.1.35 Router 2900
192.168.1.36 Firewall
192.168.1.37 Camaras
192.168.1.39 HP LaserJet 4250
192.168.1.40 HP LaserJet 4250-1
192.168.1.41 Xerox Phaser 8200 DP
Impresoras 192.168.1.42 HP LaserJet 3700
192.168.1.43 HP LaserJet 4250-2
192.168.1.44 HP LaserJet 2420
192.168.1.45 HP LaserJet 4250-3
192.168.1.46
…
192.168.1.50
Pool IP Reservado
192.168.1.51 192.168.1.60 Usuarios VPN
192.168.1.61 192.168.1.160 Usuarios Laptop
192.168.1.161 192.168.1.190 Usuarios Desktop
192.168.1.191 192.168.1.254 Libres
87
Las pruebas más importantes acerca del funcionamiento del nuevo esquema de red
se llevaron a cabo utilizando el sistema de monitoreo Nagios, cuya implementación se
mencionó anteriormente. Dicho sistema se configuró para realizar chequeos de
disponibilidad de equipos y servicios cada 90 segundos, indicando si se presentaban
pérdidas de paquetes o retrasos en las respuestas. El almacenamiento de estos resultados en
la base de datos del servidor, integrada con Nagios, permite generar estadísticas con
respecto al funcionamiento de la red.
Partiendo de los datos presentados por Nagios, se pudo generar la tabla 4.8 que
contiene las estadísticas de disponibilidad de equipos entre los meses de noviembre y
enero:
88
Dic 100,000% 0,000%
Ene 99,964% 0,036%
Nov 98,397% 1,603%
PTKFLEX Dic 73,919% 26,081%
Ene 91,769% 8,231%
Nov 98,445% 1,555%
PTKPDC Dic 100,000% 0,000%
Ene 99,964% 0,036%
Nov 98,376% 1,624%
PTKSERVICES Dic 100,000% 0,000%
Ene 99,979% 0,021%
Nov 98,409% 1,591%
ROUTER 2900 Dic 100,000% 0,000%
Ene 99,913% 0,087%
Nov 93,476% 6,524%
SUN SERVER Dic 99,979% 0,021%
Ene 100,000% 0,000%
Nov 98,415% 1,585%
SWITCH CATALYST
2 Dic 100,000% 0,000%
Ene 99,984% 0,016%
Nov 98,433% 1,567%
SWITCH CATALYST
3 Dic 100,000% 0,000%
Ene 99,990% 0,010%
Nov 98,439% 1,561%
SWITCH CATALYST
4 Dic 99,979% 0,021%
Ene 99,838% 0,162%
Nov 98,481% 1,519%
WEB SERVER Dic 100,000% 0,000%
Ene 99,972% 0,028%
Nov 98,458% 1,542%
ePO Dic 100,000% 0,000%
Ene 99,975% 0,025%
El hecho de contar con una herramienta que tenga la capacidad de mostrar los datos
históricos del desempeño de los equipos de la red constituye una ventaja significativa con
respecto a la situación inicial de la red. Se observaron mejoras en el proceso de atención y
solución de las fallas ya que es posible conocer con certeza el equipo y el servicio que las
presenta, ahorrando tiempo y recursos.
Por otra parte, éstos datos indican que, a pesar de que equipos como el módem
ABA o el PTKFLEX (que aloja el sistema de contabilidad, el cual presentó desconexiones
89
y fallas técnicas en el mes de diciembre) presentaron menos de 98% de disponibilidad, los
demás sistemas se mantuvieron por encima de ese valor.
90
Capítulo V.
CONCLUSIONES Y RECOMENDACIONES
Capítulo V. Conclusiones y recomendaciones
Este capítulo contiene las conclusiones extraídas luego del desarrollo del proyecto.
También se formulan recomendaciones para darle continuidad a las actividades realizadas.
92
Los resultados obtenidos en el transcurso del proyecto confirmaron que para la
empresa es fundamental mantener los sistemas informáticos actualizados, garantizar su
seguridad y ejercer controles permanentes. El mantenimiento de las condiciones de la red
no sólo depende de la capacidad o estabilidad de los equipos conectados a la misma, sino
de saber hacer adecuado seguimiento a su funcionamiento.
a. Estudiar todas las soluciones de comunicaciones que surgen cada día para evaluar
aquellas que permitan un mayor aprovechamiento de la infraestructura implantada,
en particular las actualizaciones de los sistemas de telefonía y de sistemas de
seguridad antivirus.
93
b. Estimar las ventajas de utilizar aplicaciones para la supervisión de las estaciones de
trabajo de los operadores de la red en los distintos departamentos que conforman la
empresa, para llevar un mejor control de las mismas en cuanto a políticas de
seguridad y actualizaciones de software.
c. Hacer pruebas rutinarias del servicio de protección de red que fue instalado en la
empresa.
d. Efectuar una revisión periódica (al finalizar cada mes) de las estadísticas de
disponibilidad de equipos y servicios de la red, con el fin de dar seguimiento a las
posibles fallas y generar soluciones oportunas y permanentes a las mismas.
94
REFERENCIAS BIBLIOGRAFICAS
[1] Groth, D., Skandier, T., “Guía del estudio de redes”, Sybex, Inc., 4ta. Edición (2005).
[5] http://es.wikipedia.org/wiki/TCP/IP
[6] http://es.wikipedia.org/wiki/Proxy
[8] Mata, M., “El estándar H.323 para comunicación multimedia”, CTI Magazine (1998).
[9] http://www.geocities.com/txmetsb/el_modelo_de_referencia_osi.htm
[10] http://es.wikipedia.org/wiki/Arquitectura_de_red
[12] http://es.wikipedia.org/wiki/Red_privada_virtual
[13] http://en.wikipedia.org/wiki/List_of_network_protocols
[14] Kessler, G., “Frame Relay: CIR and billing issues”, Network VAR (1995).
95
PAGINAS WEB CONSULTADAS
Cisco Systems, “Cisco Catalyst 2950 Series Switches with Standard Image SW”,
http://www.cisco.com/en/US/products/hw/switches/ps628/products_data_sheet09186a0080
1cfb71.html
Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., Berners-Lee, T.,
“Hypertext Transfer Protocol — HTTP/1.1”, Information Sciences Institute. (June 1999).
96
Fortinet Knowledge Center, http://kc.forticare.com/default.asp?id=0&Lang=1&SID=
97
BIBLIOGRAFIA
Holme, D., Thomas, O., “Managing and maintaining a Microsoft Windows Server 2003
Environment”, Microsoft Press (2003).
Mackin, J.C., McLean I., “Implementing, managing and maintaining a Microsoft Windows
Server 2003 Network Infrastructure”, Microsoft Press (2003).
Polo, L., “World Wide Web Technology Architecture: A Conceptual Analysis”, New
Devices (2003).
Scott, C., Wolfe, P., Erwin, M., “Virtual Private Networks”, O´Reilly & Associates, 2da.
Edición (1999).
Spealman, J., Hudson, K., Craft, M., “Planning, implementing and maintaining a Microsoft
Windows Server 2003 Active Directory Infrastructure”, Microsoft Press (2003).
Zacker, C., “Planning and maintaining a Microsoft Windows Server 2003 Network
Infrastructure”, Microsoft Press (2003).
98
ANEXOS
Anexo 1. Instalación y configuración servidor de correo electrónico
Ahora, el espacio no particionado del disco debe recibir formato para que el sistema
operativo pueda tener acceso a él, lo cual se lleva a cabo en Administración de equipos,
dentro de Herramientas administrativas del menú Inicio.
100
Figura A.1: Administración de discos
Para poder continuar con la correcta configuración del servidor, copiar los usuarios
de Active Directory y proceder con la instalación de Exchange, debemos asegurarnos de
tener instalados todos los servicios necesarios de Windows. En Panel de control, entramos
a Agregar o quitar programas, y luego a Agregar o quitar componentes de Windows, donde
debemos seleccionar y comprobar los siguientes ítems:
5 Servicios de red:
DHCP
5 RPC sobre HTTP
5 Autenticación de Internet
5 Cuarentena de acceso remoto
5 WINS
5 TCP/IP
5 DNS
5 Servidor de aplicaciones:
5 ASP.NET
5 COM+
5 IIS:
5 Administrador de servicios de IIS
5 Archivos comunes
5 NNTP
101
5 FTP
5 SMTP
5 World Wide Web
Este servidor debe actuar como controlador de dominio para responder a las
solicitudes de autenticación de los usuarios del servicio de correo electrónico, para lo cual
es necesario contar con una partición NTFS con suficiente espacio libre, una cuenta de
Administrador, una NIC (Network Interface Card o tarjeta de interfaz de red), una
configuración apropiada de TCP/IP (dirección IP, máscara de subred y gateway), una
conexión de red, un servidor DNS (Domain Name Server) y un nombre de Dominio.
102
desplegables, así como íconos de opciones, que permiten agregar unidades organizativas,
cuentas de usuarios, agregar usuarios a grupos existentes, entre otros.
103
Figura A.5: Agregar un usuario
104
En este caso, se copiaron los usuarios de Active Directory desde el servidor de
correo existente al servidor nuevo. Esto se lleva a cabo automáticamente al momento de
configurar el DNS e incorporar el servidor al dominio, mediante el protocolo RPC (Remote
Procedure Call).
105
Figura A.9: Incorporar a una organización existente de Exchange
106
Configuración del Outlook Web Access
Para configurar la FBA para trabajar sin SSL (Secure Socket Layer), es decir, para
poder utilizar OWA sin necesidad de establecer una conexión segura, se abre el Editor de
registros ejecutando “regedit”. En el directorio
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb se
crea una nueva variable de tipo DWORD con el nombre de AllowRetailHTTPAuth y valor
decimal 1.
Por último, se debe comprobar la configuración de los servicios Web del servidor, a
través del Administrador de IIS. Al entrar a dicho administrador, en la carpeta Sitios Web
del servidor local, se encuentra el Sitio Web Predeterminado, en cuyas Propiedades se debe
comprobar:
- Filtro ISAPI:
OwaLogon debe estar UP
- Seguridad de directorios:
- Autenticación y control de acceso:
- Modificar…:
Habilitar el acceso anónimo
107
5 Autenticación de Windows integrada
- ExchWeb Propiedades:
- Seguridad de directorios:
- Autenticación y control de acceso:
- Modificar…:
5 Habilitar el acceso anónimo
- Public Propiedades:
- Seguridad de directorios:
- Autenticación y control de acceso:
- Modificar…:
Habilitar el acceso anónimo
5 Autenticación básica
- Rpc Propiedades:
- Seguridad de directorios
- Autenticación y control de acceso:
- Modificar…:
Habilitar el acceso anónimo
5 Autenticación de Windows integrada
- Panel de control:
108
- Agregar o quitar programas:
- Agregar o quitar componentes de Windows:
5 Servicios de red:
5 RPC sobre el proxy http
109
Anexo 2. Integración sistemas de telefonía
De la misma manera que para el Cisco CallManager, el Cisco Unity debe instalarse
en un servidor Cisco Media Convergence Server (MCS). En nuestro caso, se disponen de
dos servidores MCS, para instalar cada una de las aplicaciones por separado.
Se llevó a cabo la instalación del software del Sistema Operativo para Cisco Unity
Server utilizando el Cisco Unity Platform Configuration Disc For MCS-7815I-3.0-ECS1,
que inicia un asistente de instalación.
Una vez finalizada la instalación, se accedió al servidor haciendo uso de una cuenta
de usuario miembro del grupo de Administradores Locales del equipo.
110
instalación para determinar si se requiere de la instalación de MSDE o de SQL 2000 Sever
como sistema de gestión de base de datos. En nuestro caso, debido a las opciones
seleccionadas, se instaló SQL 2000.
El proceso de instalación del sistema de gestión de base de datos SQL 2000 Server
es ejecutado a través de un asistente de instalación, que inicialmente muestra una ventana
de bienvenida.
En la ventana de Settings se seleccionaron las opciones Use the Same Account for
Each Service y Use the Local System Account, y finalmente en la ventana de
Authentication Mode, se escogió Windows Authentication Mode.
También fue necesario ejecutar el programa Cisco Unity 4.0.(4) Post-Install para
instalar las últimas actualizaciones del software de telefonía.
111
Para esto, se ingresó a la ruta Settings>Control Panel>System. Dentro de la
pestaña de Network Configuration se seleccionó Propiedades, y en la ventana de
Identification Changes, en el campo Domain, se introdujo el dominio al cual se deseaba
unir el servidor, que en nuestro caso es protokolgroup.com.
112
Cisco Unity. Las dos últimas son las cuentas que utilizará Cisco Unity para prestar los
servicios de directorio y los servicios de almacenamiento de mensajes.
113
Control para luego, en la ventana Users or Groups, seleccionar Add. Se agregaron los
usuarios creados anteriormente y se les concedió el permiso de Exchange Administrator.
Una vez completados los requisitos previos, se instaló el software de Cisco Unity,
ingresando al equipo con la cuenta de instalación de Cisco Unity UnityInstall.
114
Integración de Cisco Unity con el Sistema Telefónico
Para llevar a cabo la integración del sistema Cisco Unity con el sistema de telefonía
de la empresa, fue necesario cambiar ciertos parámetros de configuración en el servidor de
Cisco Callmanager. Lo primero a verificar fue la instalación de todos los patches y
upgrades para Windows 2000 Server y para Cisco Callmanager.
Por último, se seleccionó Back to Find/List Calling Search Spaces. Haciendo clic
en Find, se agregó la partición VMhuntPilot en todas los Calling Search Spaces, con la
finalidad de que todos los usuarios sean capaces de conectarse con el servidor Unity a
través del número piloto. El proceso finalizó al hacer clic en Update.
115
El siguiente paso fue añadir una Device Pool para los puertos de voz que se van a
crear. En la página de CallManager Administration, se ingresó a la ruta System>Device
Pool, donde se seleccionó Add a New Device Pool. En la página de configuración, se
introdujeron las siguientes modificaciones:
116
se seleccionó el nombre de la Hunt List creada anteriormente. Además, se desmarcó la
casilla Provide Outside Dial Tone.
Se agregaron también las dos extensiones para MWI, que indican que el usuario
tiene mensajes de voz sin escuchar. Para esto, se accedió a la ruta Feature>Voice
Mail>Message Waiting para después seleccionar Add a New Message Waiting Number.
En la pagina de configuración, se introdujo la extensión para la cual el MWI se enciende
en Message Waiting Number (6000), se indicó en la descripción que esa extensión se
encarga de encender el MWI, se colocó la marca de Message Waiting Indicator en On, se
seleccionó VMhuntPilot en Partition, y se seleccionó CCSVM en el campo Calling
Search Space. Para finalizar, se hizo clic en Insert. Este procedimiento se repitió para
crear la extensión para la cual se apaga el MWI, teniendo cuidado de seleccionar Off en el
campo Message Waiting Indicator, y colocando la extensión 6001.
Se agregó una extensión como Voice Mail Pilot Number, asignando así un número
al cual los usuarios llamarán para acceder a sus respectivos buzones. Para esto, se ingresó a
Feature>Voice Mail>Voice Mail Pilot, se seleccionó Add a New Voice Mail Pilot, y se
introdujo 6019 en el campo Voice Mail Pilot Number de la página de configuración,
CCSVM en el campo Calling Search Space, y se marcó la casilla Make This the Default
Voice Mail Pilot for the System.
También fue necesario cambiar los parámetros del servidor de correo de voz. Se
accedió a Service>Parameters, seleccionando el nombre del servidor CallManager en la
pagina de configuración. En Service List, se seleccionó Cisco Unified CallManager, con
lo cual aparece la lista de parámetros. Se ubicó el parámetro Multiple Tenant MWI
Modes para colocarlo en True, y se finalizó haciendo clic en Update.
117
with Cisco Unity, para seleccionar Run the Cisco Telephony Integration Manager. Se
selecciona Create Integration y posteriormente CallManager Integration, donde se
introdujo la dirección IP del servidor CallManager(192.168.0.242 en nuestro caso), y las
extensiones elegidas para el MWI, que en nuestro caso son 6000 y 6001 para encender y
apagar respectivamente.
118
Anexo 3. Instalación y configuración sistema de monitoreo de red
Al comenzar la instalación del sistema operativo, se presenta una pantalla con tres
opciones: Fedora 7 KDE LiveCD, Install to Hard Drive and Trash, tal como lo muestra la
figura #. De estas tres opciones, se escoge Install to Hard Drive.
Aparece una interfaz gráfica o GUI (graphical user interface), como se muestra en
la figura 2, donde el siguiente paso es seleccionar el idioma de teclado apropiado para el
sistema, ilustrado en la figura 3.
119
Figura A.21: Interfaz gráfica de instalación
Ahora, una ventana de información indica que en el siguiente paso se borrará toda
la data del disco duro. Si la instalación se está llevando a cabo en un disco duro vacío, se
continúa seleccionando la opción "Remove Linux partitions on selected drives and create
default layout". En nuestro caso, la instalación se llevó a cabo en un equipo sobre el que ya
corría Windows, pero de igual manera se seleccionó la opción anterior. Estos pasos se
ilustran en las figuras 4 y 5.
120
Figura A.14: Confirmación de borrado de data.
121
continúa. En cualquier caso, luego se deben introducir los datos del servidor de DNS y del
dominio.
122
Para finalizar, se ejecuta una instalación personalizada, donde hay que asegurarse
de integrar todos los paquetes del sistema operativo, para evitar necesitar algo que no haya
sido instalado. En la figura 8 se muestra la pantalla que da inicio al proceso de instalación.
Instalación Nagios
Con acceso al sistema operativo como usuario “root”, se deben primero instalar los
paquetes del servidor web, el compilador C y la librería GD, ejecutando los siguientes
comandos:
123
Posteriormente, se debe crear una cuenta de usuario con su correspondiente
contraseña. El nuevo usuario será “nagios”, creado de la siguiente manera:
/usr/sbin/useradd nagios
passwd nagios
También se crea un nuevo grupo para permitir el uso de comandos externos a través
de la interfaz web. El nuevo grupo será “nagcmd”, creado de la siguiente manera:
/usr/sbin/groupadd nagcmd
/usr/sbin/usermod -G nagcmd nagios
/usr/sbin/usermod -G nagcmd apache
Se añade un nuevo directorio para albergar las descargas del programa y sus
plugins:
mkdir ~/downloads
cd ~/downloads
wget http://osdn.dl.sourceforge.net/sourceforge/nagios/nagios-2.9.tar.gz
wget http://osdn.dl.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.9.tar.gz
cd ~/downloads
tar xzf nagios-2.9.tar.gz
cd nagios-2.9
124
Debe correrse el archivo de configuración de Nagios, pasando como parámetro el
nombre del grupo creado anteriormente, de la siguiente manera:
./configure --with-command-group=nagcmd
make all
make install
make install-init
make install-config
make install-commandmode
Para instalar los plugins, se debe extraer el código fuente de la misma manera en
que se llevó a cabo con el paquete de instalación:
cd ~/downloads
tar xzf nagios-plugins-1.4.9.tar.gz
cd nagios-plugins-1.4.9
make install-webconf
125
Se crea una cuenta de administrador de Nagios, llamada en este caso
“nagiosadmin” para entrar a la interfaz web:
Para que los nuevos ajustes entren en vigencia, es necesario reiniciar el servicio de
Apache:
getenforce
setenforce 0
Configuración Nagios
A continuación se describen cada uno de los archivos que deben ser modificados
para que la herramienta entre en funcionamiento.
126
Main Configuration File
Format: cfg_file=<file_name>
cfg_file=/usr/local/nagios/etc/hosts.cfg
Example: cfg_file=/usr/local/nagios/etc/services.cfg
cfg_file=/usr/local/nagios/etc/commands.cfg
Para que Nagios opere en función de las necesidades particulares de nuestra red,
deben existir los siguientes archivos de configuración:
cfg_file=/usr/local/nagios/etc/contactgroups.cfg
cfg_file=/usr/local/nagios/etc/contacts.cfg
cfg_file=/usr/local/nagios/etc/dependencies.cfg
cfg_file=/usr/local/nagios/etc/escalations.cfg
cfg_file=/usr/local/nagios/etc/hostgroups.cfg
cfg_file=/usr/local/nagios/etc/hosts.cfg
cfg_file=/usr/local/nagios/etc/services.cfg
cfg_file=/usr/local/nagios/etc/timeperiods.cfg
cfg_file=/usr/local/nagios/etc/servicegroups.cfg
127
cfg_file=/usr/local/nagios/etc/hostextinfo.cfg
Format: status_update_interval=<seconds>
Example: status_update_interval=15
Este parámetro determina con qué frecuencia (en segundos) Nagios actualizará su
status en el archivo de configuración correspondiente. El intervalo mínimo es 1 segundo,
pero en nuestro caso se colocó en 15 segundos.
Notifications Option:
Format: enable_notifications=<0/1>
Example: enable_notifications=1
0 = Deshabilitar notificaciones
1 = Habilitar notificaciones (predeterminado)
Format: execute_service_checks=<0/1>
Example: execute_service_checks=1
128
Esta opción determina, cada vez que Nagios inicia o reinicia, si ejecutará o no
chequeos de servicio. Si está deshabilitada, Nagios no ejecutará activamente ningún
chequeo de servicios, y permanecerá en cierto modo “dormido”. Los valores de esta opción
se interpretan de la siguiente manera:
Format: log_rotation_method=<n/h/d/w/m>
Example: log_rotation_method=d
Este parámetro determina el método que utilizará Nagios para rotar los archivos de
registro. Los valores de esta opción se interpretan de la siguiente manera:
Format: check_external_commands=<0/1>
Example: check_external_commands=1
129
Esta opción determina si se chequeará el archivo de comandos externos para
determinar cuáles serán ejecutados. Esta opción debe estar habilitada si se tiene planeado
utilizar el CGI para ejecutar comandos desde la interfaz web, llamados comandos externos.
Los valores de esta opción se interpretan de la siguiente manera:
Format: log_notifications=<0/1>
Example: log_notifications=1
0 = No registrar notificaciones
1 = Registrar notificaciones
Format: log_service_retries=<0/1>
Example: log_service_retries=1
130
cuestión más de una vez antes de responder al error. Se considera que los servicios en esta
situación están en estado “suave”.
Format: log_host_retries=<0/1>
Example: log_host_retries=1
Este parámetro funciona de manera similar al anterior, pero en vez de trabajar sobre
el chequeo de servicios, se ajusta sobre el chequeo del status de los hosts.
Resource File
El archivo resource.cfg puede ser utilizado para almacenar macros definidos por el
usuario. El interés principal de tener este archivo es utilizarlo para almacenar información
de configuración, como por ejemplo contraseñas, sin que estén disponibles para los
registros del CGI.
131
configuración, por medio de las cuales el CGI se relaciona directamente con la manera en
la que se ha configurado Nagios y con el almacenamiento de las definiciones de objetos.
Format: use_authentication=<0/1>
Example: use_authentication=1
132
Esta opción otorga permisología de acceso a la información de configuración de
Nagios (hosts, comandos, etc.) a los usuarios enumerados en la lista. Por defecto, los
usuarios sólo pueden ver la configuración de los hosts y servicios para los cuales son
contactos de notificaciones.
Esta opción otorga permisología para detener o reiniciar comandos de Nagios vía CGI a los
usuarios enumerados en la lista. Por defecto, nadie tiene acceso a esto a menos que se haya
escogido no utilizar autorizaciones.
Format: authorized_for_all_services=<users>
Example: authorized_for_all_services=nagiosadmin,guest
Format: authorized_for_all_hosts=<users>
Example: authorized_for_all_hosts=nagiosadmin,guest
Esta opción otorga permisología para ver la información de todos los hosts y
servicios que están siendo monitoreados a los usuarios enumerados en la lista. Por defecto,
los usuarios sólo pueden ver la información de los hosts y servicios para los cuales son
contactos de notificaciones.
Format: authorized_for_all_service_commands=<users>
Example: authorized_for_all_service_commands=nagiosadmin
133
Format: authorized_for_all_host_commands=<users>
Example: authorized_for_all_host_commands=nagiosadmin
Esta opción otorga permisología para ejecutar comandos relacionados con hosts o
servicios a través del CGI a los usuarios enumerados en la lista. Por defecto, los usuarios
sólo pueden ejecutar comandos sobre los hosts y servicios para los cuales son contactos de
notificaciones.
Los archivos de definición de objetos se usan para configurar los elementos que
participan en el proceso de monitoreo de la red ejecutado por Nagios, entre los cuales se
encuentran hosts, grupos de hosts, contactos, grupos de contactos, comandos, etc. En otras
palabras, se define qué hacer y cómo hacerlo.
134
Grupos de hosts: son agrupaciones de uno o mas hosts, que se organizan según sus
características comunes para facilitar la visualización del status de cada uno de ellos en la
interfaz web de Nagios y simplificar la configuración de la aplicación.
Servicios: uno de los objetos centrales en la lógica de monitoreo. Están asociados con los
hosts, y pueden ser:
Grupos de servicios: son agrupaciones de uno o más servicios, organizados para facilitar
la visualización del status de servicios similares en la interfaz web de Nagios y simplificar
la configuración de la aplicación.
Grupos de contactos: agrupaciones de uno o más contactos, para facilitar las definiciones
de todas las personas que reciben notificaciones cuando ciertos hosts o servicios presentan
problemas.
135
Configuración de archivos de definición de objetos:
Hosts.cfg
En este archivo se definen cada uno de los hosts a ser monitoreados, mediante un
nombre, un alias y su dirección IP. También se especifican comandos, intervalos de
monitoreo, contactos a los cuales serán enviadas las notificaciones inherentes a su
funcionamiento.
define host{
host_name <host name>
hostgroups <group name>
alias <host alias>
address <IP address>
check_command check-host-alive
max_check_attempts <number of attempts>
check_period 24x7
contact_groups <contact groups>
notification_interval <minutes>
notification_period 24x7
notification_options d,u,r,f
}
Hostgroups.cfg
En este archivo se agrupan los hosts según sus características comunes. En nuestro
caso, los servidores fueron agrupados según el sistema operativo bajo el cual funcionan, y
los demás equipos según su naturaleza, sean routers, switches, impresoras, etc.
define hostgroup{
hostgroup_name <host group name>
alias <host group alias>
members <host group members>
}
136
Hostextinfo.cfg
Este archivo contiene las definiciones de los íconos que muestra la interfaz gráfica
para cada uno de los equipos a monitorear. Su configuración es opcional, pero facilita el
uso de la herramienta permitiendo una rápida identificación visual.
define hostextinfo{
host_name <host name>
icon_image <image name>
icon_image_alt <host name>
vrml_image <image name>
statusmap_image <image name>
2d_coords 100,250
3d_coords 100.0,50.0,75.0
}
xedtemplate_file_config=/usr/local/nagios/etc/hostextinfo.cfg
Los iconos a los cuales hace referencia este archivo deben estar localizados en el
directorio /usr/local/nagios/share/images/logos
Services.cfg
Este archivo contiene la definición de los servicios que van a ser monitoreados en
cada uno de los hosts. Es importante que se revisen las definiciones de los comandos en el
archivo commands.cfg, para configurar adecuadamente los servicios y sus parámetros.
define service{
hostgroup_name(*) <host group name>
service_description <service description>
check_command <command>
137
max_check_attempts <number of attempts>
normal_check_interval <minutes>
retry_check_interval <minutes>
check_period 24x7
notification_interval <minutes>
notification_period 24x7
notification_options w,u,c,r,f
contact_groups <contact groups>
}
(*) O host_name según se necesite
Contacts.cfg
define contact{
contact_name <contact name>
alias <contact alias>
host_notification_period 24x7
service_notification_period 24x7
host_notification_options d,u,r
service_notification_options w,u,c,r
host_notification_commands host-notify-by-email
service_notification_commands notify-by-email
email <email address>
}
Contactgroups.cfg
Dentro de este archivo se agrupan los contactos según los hosts de los cuales están
encargados.
138
define contactgroup{
contactgroup_name <contact group name>
alias <contact group alias>
members <contact group members>
}
Escalations.cfg
define hostescalation(*){
hostgroup_name(**) <host group name>
first_notification <first notification to be escaled>
last_notification <last notification to be escaled>
notification_interval <minutes>
escalation_period 24x7
contact_groups <contact group name>
}
(*) O serviceescalation según se necesite
(**) O host_name según se necesite
139
Allow from all
AuthName "Nagios Access"
AuthType Basic
AuthUserFile /usr/local/nagios/etc/htpasswd.users
Require valid-user
</Directory>
Alias /nagios /usr/local/nagios/share
<Directory "/usr/local/nagios/share">
Options None
AllowOverride None
Order allow,deny
Allow from all
AuthName "Nagios Access"
AuthType Basic
AuthUserFile /usr/local/nagios/etc/htpasswd.users
Require valid-user
</Directory>
Inicio de Nagios
Finalmente, se ejecuta el siguiente comando para verificar que los archivos estén
configurados correctamente y sean coherentes entre si:
140
/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
Nagios 2.9
Copyright (c) 1999-2007 Ethan Galstad (http://www.nagios.org)
Last Modified: 04-10-2007
License: GPL
Checking services...
Checked 56 services.
Checking hosts...
Checked 31 hosts.
Checking host groups...
Checked 8 host groups.
Checking service groups...
Checked 4 service groups.
Checking contacts...
Checked 9 contacts.
Checking contact groups...
Checked 10 contact groups.
Checking service escalations...
Checked 22 service escalations.
Checking service dependencies...
Checked 0 service dependencies.
Checking host escalations...
Checked 21 host escalations.
Checking host dependencies...
141
Checked 0 host dependencies.
Checking commands...
Checked 22 commands.
Checking time periods...
Checked 4 time periods.
Checking extended host info definitions...
Checked 30 extended host info definitions.
Checking extended service info definitions...
Checked 0 extended service info definitions.
Checking for circular paths between hosts...
Checking for circular host and service dependencies...
Checking global event handlers...
Checking obsessive compulsive processor commands...
Checking misc settings...
Total Warnings: 0
Total Errors: 0
Things look okay - No serious problems were detected during the pre-flight check
142
http://localhost/nagios/
http://<dirección-ip-servidor-nagios>/nagios
Una vez iniciada la sesión, es posible observar con detalle el status de cada uno de
los equipos y servicios de la red, y luego de transcurrido cierto tiempo a partir de la
primera vez que se inició se observarán historiales de eventos, de cambios de estado de
equipos y servicios, de notificaciones, etc.
143
Anexo 4. Instalación y configuración software de gestión de seguridad
Para instalar el software de ePO 3.6 Server fue necesario acceder al servidor con la
cuenta de Administrador Local del equipo. Se verificó que el servicio MSSQL estuviese
corriendo y que el protocolo TCP/IP estuviese activado en el Server Network Utility de
SQL.
144
Figura A.19: Opciones de Instalación
Figura A.20: Establecimiento de Contraseñas de Administrador
145
Figura A.21: Selección de Tipo de Servidor de Base de Datos
146
Se especificaron los números de los puertos que se utilizarían para la comunicación
hacia y desde el servidor ePO, como se muestra a continuación.
147
Figura A.24: Pantalla Principal de Manejo de ePO
148
Anexo 5. Renombramiento de dominio
Se pretende entonces que estos dominios confíen el uno en el otro, para permitir
que los usuarios puedan acceder tanto a los equipos como a los servicios de correo a través
de la misma cuenta, y posteriormente renombrar el dominio protokol.com para que todos
los equipos relacionados con éste pasen a formar parte de protokolgroup.com y así
unificar la estructura de dominios de la empresa.
149
grupo de Administradores del dominio o del grupo de Administradores de organización en
Active Directory, o bien debe tener delegada la autoridad correspondiente.
Requisitos previos:
150
- Se ejecutó transfer función, donde función es la función que se desea transferir.
Para ver la lista de funciones que se pueden transferir, se escribe ? en el símbolo
del sistema fsmo maintenance.
- Se repitió el procedimiento para transferir el resto de las funciones FSMO.
Para asumir las funciones FSMO usando la utilidad Ntdsutil, se llevó a cabo el
siguiente procedimiento:
Elevar el nivel funcional del dominio y bosque: Los niveles funcionales de un dominio
permiten activar funciones de Active Directory a través de todo el dominio, dentro del
ambiente de red.
151
- Windows Server 2003: permite a un controlador de dominio en Windows Server
2003 interactuar únicamente con controladores de dominio que corran Windows
Server 2003.
152
Es importante tomar en consideración que, para elevar el nivel funcional del bosque
a Windows Server 2003, el requisito mínimo de funcionalidad del dominio es Windows
2000 nativo. Por otra parte, una vez que el nivel funcional del dominio se eleva no hay
manera de degradarlo, es decir, no puede cambiarse nuevamente al nivel funcional
anterior.
153
Para crear una relación de confianza de bosque, se ingresó a Dominios y
confianzas de Active Directory a través de Inicio, Panel de control, Herramientas
administrativas.
Al entrar en Propiedades del nodo de dominio raíz del bosque en el cual se está
trabajando, se editaron los parámetros de la ficha Confía haciendo clic en Nueva
Confianza… y siguiendo las instrucciones del asistente. Éste va solicitando insertar el
nombre del dominio en el que se quiere confiar, el tipo de confianza y la dirección de la
confianza.
El nombre de confianza del otro bosque puede introducirse como nombre DNS o
NetBIOS. En Tipo de confianza se eligió Confianza de bosque. En dirección de
confianza se escogió Bidireccional, lo que permite que los usuarios de ambos bosques
tengan acceso a los recursos del otro. También fue necesario seleccionar Autenticación en
todo el bosque, para asegurarnos de que todos los equipos pertenecientes al dominio
ejecuten la confianza.
Desactivar las cuentas de usuario / Proceso de aprovisionamiento: Una vez que los
dominios confían uno en el otro, fue necesario desactivar las cuentas de usuario en el
dominio de Exchange (protokolgroup.com) y asociar los buzones a la cuenta de usuario
externa (en el dominio protokol.com). Esto causará que el acceso a los buzones de correo
sea a través de la cuenta nombre_apellido@protokol.com (o simplemente
nombre_apellido), con las claves correspondientes. Así, los dominios presentarán la
siguiente estructura:
154
Figura A.27: Relación de confianza entre bosques
Preparar las zonas DNS: Debe configurarse el dominio a ser renombrado para permitir el
uso de sufijos DNS principales que no coincidan con el nombre de dominio, cambiando el
valor del atributo msDS-AllowedDNSSuffixes en las propiedades del contenedor del
dominio a través de la herramienta ADSIEdit. Se debe editar dicho atributo añadiendo el
sufijo DNS en el cuadro de dialogo Multi-valued string editor.
Habilitar las políticas de grupo para el dominio a ser renombrado: en las Propiedades
de la unidad organizacional que contiene a los usuarios en Usuarios y Equipos de Active
Directory. En la ficha de Directivas de grupo, se selecciona el objeto donde se desea
crear la nueva directiva para editarla, entrando por la ruta Configuración del equipo,
Plantillas administrativas, Red, Cliente DNS. Habilitar el elemento Sufijo DNS
principal y añadir el nuevo nombre de sufijo DNS con el cual se va a renombrar el
dominio.
155
- Crear un directorio X:\DomainRename
- Insertar el CD de Windows Server 2003 y ejecutar
copy M:\valueadd\msft\mgmt\domren\*.* X:\domren
Verificar que rendom.exe y gpfixup.exe se hayan copiado
- Instalar las Herramientas de Soporte desde la carpeta Support\Tools del
CD. Verificar que repadmin.exe y dfsutil.exe estén instalados.
• Generar la descripción actual del bosque: crea un archivo con una descripción
textual de la estructura del bosque, lista de particiones de directorios y de
particiones de aplicaciones.
- En la estación de control, abrir un Command Prompt y entrar al directorio
X:\DomainRename
- Ejecutar rendom /list
- Guardar una copia de la descripción del bosque actual ejecutando el
siguiente comando
copy domainlist.xml domainlist-save.xml
156
• Forzar las instrucciones de renombramiento de dominio a los controladores de
dominio y verificar la preparación del DNS:
- En la estación de control, abrir un Command Prompt, y ejecutar
Dsquery Server –hasfsmo name
Para forzar a replicar los cambios realizados en los pasos anteriores a los
controladores de dominio.
- Ejecutar
repadmin /syncall /d /e /P /q DomainNamingMaster
Donde DomainNamingMaster es el nombre DNS del controlador de
dominio que actúa como Naming Master para el dominio.
157
- Reiniciar la estación de control dos veces para asegurar que todos los
servicios carguen el nuevo nombre de dominio.
- En la estación de control, abrir un Command Prompt.
- Desde el directorio X:\DomainRename, ejecutar
rendom /end
Donde:
158
- Para forzar la replicación de estos cambios, ejecutar
repadmin /syncall /d /e /P /q DcDnsName NewDomainDN
El comando gpfixup solo debe correrse una vez para cada dominio renombrado.
• Reiniciar equipos miembros del dominio: para que reconozcan los cambios y los
nuevos nombres del dominio se propaguen a sus aplicaciones y servicios.
o Reiniciar las computadoras miembros del dominio dos veces (excluyendo
los controladores de dominio).
Si están conectadas a la LAN a través de un cable, reiniciar dos
veces.
Si están conectadas de manera inalámbrica, la tarjeta de red
inalámbrica debe ser extraída y reinsertada luego de hacer “logon”,
antes de cada reinicio.
o Si hay miembros que se conectan al dominio renombrado mediante
conexiones remotas como dial-up o VPNs, deben separarse del viejo
dominio y luego unirse al nuevo.
• Clean-up:
o Abrir un command prompt en la estación de control
o Desde el directorio X:\DomainRename, ejecutar
rendom /clean
159
o Ejecutar:
netdomcomputernameCurrentComputerName/add:NewComputerName
o Asegurar que las actualizaciones y los registros de DNS se han completado,
chequeando los atributos en ADSIEdit, en particular el msDS-
AdditionalDnsHostName. El nuevo nombre debe aparecer en las
propiedades del atributo.
o Ejecutar:
netdomcomputernameCurrentComputerName/makeprimary:NewComputer
Name.
De nuevo, chequear el ADSIEdit. En este caso, hay que verificar las
propiedades del atributo msDS-AdditionalDnsHostName, donde debe
aparecer el nombre anterior del equipo.
o Reiniciar el equipo
o Desde el command prompt, ejecutar:
netdomcomputernameNewComputerName/remove:OldComputerName
160
161
162
163
164
165
166
167
168
169
170
171