DOCUMENTACIÓN DEL SERVIDOR VPN

Este servidor se encuentra bajo administración y responsabilidad de Modernización y sistemas, el servidor de

VPN permite el acceso a la red interna de modernización con el rango de IP 200.34.44.169 a 200.34.44.176,
dentro del segmento de red 200.34.44.160/27

La VPN está configurada como una red PPTP (Point to Point Tuneling Protocol) y usa la autentificación de
Windows del servidor de dominio de Modernización y sistemas, este servidor de dominio (200.34.44.140)
también controla el acceso al repositorio de datos de la dirección.

Para poder tener acceso a la VPN, es necesario que el usuario exista en el dominio y tenga permiso de
conexión por marcación, este permiso puede ser asignado directamente o por política en el dominio.

Posibles problemas

Aunque el servidor de VPN se puede alcanzar desde cualquier red interna y externa, se ha detectado que en
algunas conexiones infinitum quizá por el modelo del modem, no es posible realizar la conexión, también
algunos firewall (lógicos o físicos) pueden bloquear la conexión si no dejan pasar el trafico GRE.

Si el servidor de dominio ubicado en el cubículo de operación (Paco y Nelson) se llegara a apagar, la

autentificación a la VPN fallaría así como el acceso al repositorio de datos, siendo posible validarse con cuentas
locales del servidor WEBWSUS como seria WEBWSUS\Administrador en vez de DIYS\Administrador; esto
mismo aplicaría para el repositorio donde seria monitor\Administrador en lugar de DIYS\Administrador.

En el caso del repositorio se podría tener acceso por un periodo de tiempo después de que se apagara el
servidor de dominio, debido al cache de cuentas a diferencia del servidor de VPN que no hace cache de
cuentas.

Los puertos utilizados por el servidor de VPN están especificados en la lista de reglas de puertos del firewall
aplicados a modernización y sistemas.
 Servidor WSUS
El servidor tiene el nombre de dominio wuauclt.uaeh.edu.mx y tiene abierto el puerto 80 para toda la UAEH, a
este servidor se conectan las “Consolas” o servidores WSUS replicas para descargar las actualizaciones.

Para administrar el WSUS basta con dar click en inicio > Windows Server Update Services, esto abrirá una
consola de administración que nos permitirá ver las actualizaciones que han llegado, aprobarlas o rechazarlas,
organizar los equipos y realizar tareas de mantenimiento en el servidor.

La distribución de los equipos en unidades tiene la finalidad de administran la forma en la que se aprueban ya
que no todas las actualizaciones son aprobadas para todos los equipos o servidores.

En la imagen anterior se puede observar cómo se aprueba una actualización para todos los grupos de equipos
menos para el grupo de servidores, esto es porque existen actualizaciones que pueden provocar conflictos,.
Inestabilidad o no son necesarias (ejemplo Windows media Player) para los servidores, esto mismo aplica para
actualizaciones pudieran no ser necesarias para otros equipos.
Cuando un equipo es dado de alta en el WSUS ya sea por medio de la clave de registro, script o instalador, este
se agrega al grupo “Equipos sin asignar” que solo tiene aprobadas cierto número de actualizaciones criticas.

Es necesario seleccionarlos y asignarlos a el grupo al que pertenecen, en el caso de los equipos inalámbricos,
se agregan al grupo inalámbricos y al grupo RedUAEH, los cableados se agregan solo a RedUAEH; es posible
distinguirlos ya que los inalámbricos usan direcciones IP privadas, esta clasificación es solo con propósitos
estadísticos, para saber cuántos cableados e inalámbricos están registrados en el WSUS, ya que se aprueban
las mismas actualizaciones para los dos grupos.

El caso es distinto para las IPs que pertenecen a los segmentos de servidores, modernización y
telecomunicaciones, ya que en estas redes se encuentran equipos servidores se recomienda solo agregarlos al
grupo que pertenecen para que al momento de aprobar las actualizaciones no se aprueben a equipos que no
las necesiten o equipos críticos.

Las actualizaciones clasificadas como “criticas” son aprobadas automáticamente por una regla en el WSUS que
se puede configurar de forma distinta si así se requiere. Todas las demás actualizaciones deben ser aprobadas
y se recomienda que antes de aprobarlas para el rango de telecomunicaciones, servidores y modernización se
pruebe la actualización en algún equipo destinado para ello agregándolo al grupo de “Prueba” y aprobando la
actualización solo para ese grupo.
Con respecto a los servidores “Consola” que se encuentran en los campus, estos cuentan con un servidor
virtual de Windows 2003 server configurado como réplica del servidor principal wuauclt.uaeh.edu.mx, lo que
quiere decir que no se conectaran a internet para obtener las actualizaciones y no aprobaran actualizaciones
de manera propia, sino que, obtendrán las actualizaciones y aprobaciones del servidor principal.

Estos servidores se pueden ver en la opción “servidores que siguen en la cadena” en el panel del WSUS.

Actualmente el servidor cuenta con 50GB de actualizaciones en español y en ingles para los siguientes
productos:

 SQL server 2000

 SQL server 2005
 SQL server 2008
 Internet Explorer
 Windows 2000
 Windows 7
 Windows Defender
 Windows Embedded Stander 7
 Windows media dinamic installer
 Windows server 2003, Data center edition
 Windows 2003 server
 Windows 2008 y 2008 R2
 Windows ultímate
 Windows Vista
 Windows XP 32, 64 bits e Itanium

Se pueden agregar actualizaciones para muchos otros productos, desde Microsoft Windows live, office, hasta
el biztalk server, pero no se han aprobado por no considerarse críticos, también se pueden descargar
actualizaciones para controladores (firmados o proporcionados por Microsoft) y algunos paquetes de
funciones extra. Estas opciones se configuran en “Productos y clasificaciones”.

El servidor WSUS está configurado para usar una base de datos de SQL server que reside en el servidor virtual
200.34.44.188 destinado únicamente a contener esta base de datos; este servidor virtual se encuentra en el
servidor Dell Presicion 390 con 4 GB de RAM y dos discos duros uno de 160GB y uno de 120GB donde también
residen otros servidores de modernización y sistemas.

A diferencia del servidor WSUS principal, los servidores replica utilizan el motor de base de datos interno de
Microsoft, ya que manejaran volúmenes de datos más pequeños.

Instalación del WSUS

Para instalar el servidor WSUS podemos descargar la versión más reciente de los servidores de Microsoft o
podemos usar el instalador que se encuentra en el repositorio de telecom, en la carpeta de software.

Para instalar el WSUS, se requiere que se encuentre instalado el NetFramework y el Reporviewer, estos
también se encuentran en la carpeta de software de Telecom, también debe estar instalado el IIS que es un
componente del Windows 2003 server, si no está instalado lo instalaremos desde el panel de control en
agregar componentes de Windows en servicios web.

Al momento de instalarse el WSUS nos preguntara sobre la ubicación de los archivos de actualizaciones, es
recomendable contar con al menos 80 GB libres para este repositorio, actualmente se tienen 50 GB libres en
una unidad de 100GB en la unidad ‘F’ del servidor.

Posteriormente el instalador preguntara sobre la ubicación de la base de datos, si no contamos con un

servidor robusto como SQL Server podemos usar el servidor interno de Microsoft el cual viene incluido con el
WSUS; Actualmente, se usa un servidor de SQL server en la dirección IP 200.34.44.188, únicamente para el
WSUS principal, los servidores virtuales que se encuentran en los campus usan la base de datos interna de
Microsoft.

Posterior a la instalación se nos pedirá configurar si el servidor, si se trata del servidor principal, le indicaremos
que se debe sincronizar directamente desde Microsoft update, si es un servidor secundario le indicaremos que
se sincronizara desde otro servidor y le indicaremos como servidor de sincronización al servidor principal de
WSUS, también es recomendable indicarle que es una réplica del servidor que precede en la cadena, esto
significa que el servidor no aprobara actualizaciones sino que tomara las mismas que ya estén el servidor
principal.

Después nos pedirá realizar una conexión inicial para comprobar que puede alcanzar el servidor de
sincronización.
Continuando con la instalación deberemos elegir los idiomas en los que deseamos descargar las
actualizaciones y los productos que deseamos que se descarguen las actualizaciones, actualmente solo se
descargan actualizaciones de Windows y de SQL server.

Antes de terminar nos pedirá que configuremos cada cuando se va a sincronizar el servidor en busca de
actualizaciones, se recomienda hacerlo una vez al día, en horarios que no exista mucho tráfico en la red (por la
madrugada).

Se debe tener en cuenta que las actualizaciones se liberan normalmente los días martes, y el segundo martes
de cada mes se libera un acumulativo de actualizaciones por lo que es importante estar pendiente para
aprobarlas o rechazarlas.
 Servidor de Dominio diys.uaeh.edu.mx
El servidor de dominio es un servidor administrador por modernización y sistemas que proporciona acceso a
los recursos como son impresoras, carpetas compartidas entre equipos, publicación de aplicaciones a los
miembros del dominio acceso al repositorio de la DIyS, acceso a la VPN.

Este servidor es físico y se encuentra en el cubículo de operación de la DIyS (Paco y Nelson) corre Windows
2003 server y está configurado con Active directory para el control del dominio.

Es esencial para el acceso al repositorio de datos, la VPN y para el acceso a algunos servidores como son el
sistema de tickets y el WSUS por lo que debe estar funcionando en todo momento, si en algún momento se
presenta un error de acceso al repositorio, la causa puede ser que este servidor este apagado o desconectado
de la red; Debido a esto y que contiene configuraciones de cuentas y permisos incluyendo el acceso de control
escolar para realizar los backups, este servidor es respaldado creando una maquina virtual a partir de la física
por lo menos una vez al mes, esta copia de seguridad se almacena en:

\\200.34.44.13\DIyS\7.Respaldos\Equipos\Dominio

Y puede ser usada en caso que el servidor físico dejase de funcionar, para ello debería ser copiada a movida a
un servidor con VMware server 2.0, si no puede conservar su dirección IP original deberá cambiarse el primer
DNS en los equipos que acceden a este servidor (equipos y servidores que están en el dominio) para apuntar a
la nueva dirección IP, de lo contrario no serán capaces de encontrar al servidor. (Nota: el segundo DNS seguirá
siendo 200.34.44.229)

La dirección IP actual del servidor es 200.34.44.140