Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ediciones
Web Editin: para albergar servidores web. A diferencia con Windows 2003, esta edicin permite arquitecturas de 64 bits. Contiene el IIS pero no servidores de archivos ni de impresin. Soporta hasta 4 procesadores (de 32 o 64 bits), hasta 4 GB de RAM en 32 bits y 32 GB en 64 bits. Standard Edition: para pequeas y medianas empresas. Soporta el mismo hardware que la Web Edition. Incluye servidor de archivos, de impresin y de comunicaciones, Directorio Activo y Terminal Server. Es la edicin ms utilizada. Slo permite utilizar una imagen virtual con hyper-V. Enterprise Edition: para medianas y grandes empresas. Soporta hasta 8 procesadores (de 32 o 64 bits), 64 GB de RAM en 32 bits y 2 TB en 64 bits. Permite aadir memoria en caliente. NUMA. Clster de hasta 16 nodos. No limita el nmero de conexiones VPN (como hace la versin standard). Permite ejecutar hasta 4 imgenes virtuales con hyper-V. Datacenter Edition: para grandes empresas de datos. Soporta hasta 32 procesadores de 32 bits y 64 procesadores de 64 bits; memoria igual que la versin anterior. Clster de 16 nodos. Conexin en caliente de memoria y procesadores. No limita la creacin de imgenes virtuales con hyper-V.
Funciones de un servidor
Servidor de archivos: facilita el acceso compartido de los datos a los usuarios aunque utilicen otro sistema operativo gracias al uso de NFS (Netword File System). Se permite compartir carpetas entre usuarios, fijar privilegios por usuario o por grupo, y establecer cuotas de disco por usuario. Con EFS (Encrypted File System) se mejora la seguridad cifrando el contenido. Con DFS (Distributed File System) se puede crear un sistema de archivos distribuido para que los usuarios accedan a los datos sin saber su ubicacin fsica. Tambin hace copias de seguridad. Servidor de impresin: publica las impresoras disponibles y establece privilegios de uso a los usuarios. Ofrece los drivers para los sistemas operativos que utilizarn la impresora liberando al administrador de tener que instalar los drivers localmente. Servidor de aplicaciones: con IIS 7.0. despliegue de servicios web usando UDDI. Servidor web 2
Servidor de terminales: permite que los clientes abran sesin en el servidor y ejecuten sus aplicaciones de forma remota. Terminal server. Servidor de acceso y directivas de red: puede trabajar como servidor de acceso remoto (RAS) utilizando VPN y NAP (Network Access Protection) para crear una red virtual entre un usuario remoto y el servidor de forma que este tenga acceso a los recursos de la red como si estuviera en la LAN. Tambin puede funcionar como un servidor de tipo RADIUS para autenticar y autorizar a usuarios de conexiones remotas como VPN o redes inalmbricas. Servidor de Directorio Activo: administracin centralizada de la red. Servidor DNS: proporciona a los clientes las direcciones IP de los servidores de la empresa. Normalmente con WINS es suficiente, pero si la empresa es grande y requiere acceso desde el exterior puede ser necesario instalar un servidor DNS. La instalacin de un controlador de dominio implica la instalacin de un servidor DNS que se ocupar de resolver las direcciones de los equipos del dominio. Aunque dicho servidor no tiene porque ser Windows, puede estar instalado en otro equipo de la red con otro sistema operativo. Servidor DHCP Servidor WDS (Windows Deployment Service): sustituye a RIS (Remote Installation Service) de Windows 2003. Permite instalar sistemas operativos Windows en los clientes desde el servidor de forma desatendida. Servidor de enrutamiento de trfico: Windows Server 2008 puede funcionar como un router y, por tanto, puede hacer NAT, convirtiendose as en un servidor de acceso a Internet.
DIRECTORIO ACTIVO
Controladores de dominio
Una de las principales funciones del servidor es la autenticacin y la autorizacin de los usuarios para acceder a los recursos y la comunicacin entre los clientes. El sistema tendr una base de datos con informacin de todos los objetos del dominio. Los servidores que tienen dicha base de datos son los controladores de dominio (DC), y deben tener instalado el servicio de directorio activo. El directorio activo se basa en el estandar LDAP. Los DC tienen la base de datos del dominio (ntds.util), un archivo de registro y una carpeta compartida (SYSVOL) donde se guarda todo el contenido pblico del dominio y que se replicar por todos los DC del dominio. Esta carpeta compartida
contiene datos como las polticas de grupo, secuencias de comandos de inicio y fin de sesin, etc. Windows Server 2008 utiliza un modelo de replicacin multimaestro, segn el cual cualquier DC es capaz de procesar cambios en el dominio y propargarlos automticamente al resto de DC.
En la imagen tenemos un rbol, con 3 dominios: uno riz y 2 subdominios. No se puede utilizar un servidor como controlador de 2 dominios. Varios rboles forman un bosque. Entre rboles se puede crear una relacin de confianza. El primer dominio que se cree en el bosque ser la raz del bosque. Todos los rboles de un bosque comparten un catlogo global, la base de datos y los datos del 4
directorio, y cuentan con relaciones de confianza lo que permite que un usuario de un dominio inicie sesin en otro dominio del bosque.
Unidades Organizativas
Contenedor que puede tener usuarios, equipos, grupos y otras unidades organizativas. Permite organizar los objetos simulando su estructura real, por ejemplo, en departamentos. Son el elemento ms pequeo al que pueden aplicarse directivas de grupo. Tambin permiten dividir las tareas de administracin.
Cuentas de usuario
Se utilizan para permitir que usuarios inicien sesin en la red y accedan a recursos compartidos. Pueden ser locales o de dominio. Tienen una serie de atributos, por ejemplo, nombre, contrasea, direccin y telefono. Las cuentas se crean a nivel de dominio o de OU y una cuenta siempre pertenece a un dominio. Una cuenta permite la autenticacin del servidor y tambin define unos permisos por defecto a parte de los definidos en los grupos a los que pertenezca. La autenticacin consta de 2 partes: por un lado el inicio de sesin y por otro la autenticacin de red. Cuando un usuario inicia sesin con una cuenta de usuario de dominio, el sistema comprueba su identidad y le da acceso a los servicios del AD. Despus, cuando el usuario intenta acceder a los recursos de la red, la autenticacin comprueba si el usuario tiene permisos. Windows Server 2008 admite muchos protocolos de autenticacin de red, por defecto, utiliza Kerberos v5.
Grupos de seguridad: definidos en el dominio y se utilizan para asignar permisos a los recursos compartidos. Pueden ser tambin grupos de distribucin. mbitos de un grupo Dentro del AD los grupos pueden tener varios mbitos:
Grupos locales de dominio: se utilizan para asignar permisos de acceso a recursos dentro de un nico dominio. Sus miembros pueden ser cuentas, grupos globales y universales de cualquier dominio, grupos locales de dominio slo del mismo dominio. Grupos globales: se utilizan para definir conjuntos de usuarios o equipos del mismo dominio que comparten una funcin o trabajo similar. Sus miembros pueden ser cuentas de grupos globales del mismo dominio. Grupos universales: se utilizan para definir conjuntos de usuarios o equipos que deberan tener permisos aplicables a todo un dominio o bosque. Sus miembros pueden ser cuentas de cualquier dominio y grupos globales y universales de cualquier dominio. Son tiles en grandes organizaciones con muchos dominios, ya que simplifican la administracin del sistema.
Utilizacin de los grupos de dominio local, global y universal: Grupos locales de dominio: utilcelos para administrar el acceso a los recursos, como por ejemplo, impresoras o carpetas compartidas. Grupos globales: utilcelos para administrar cuentas de usuario y de grupo de un dominio concreto. Entonces, para conceder permiso de acceso a un recurso slo tendr que hacer miembro del grupo local de dominio al grupo global. Grupos universales: utilcelos para consolidar grupos que se extienden por varios dominios. Esto se consigue aadiendo gupos globales como miembros.
Cuentas de equipo
Sitios
Un sitio es una agrupacin de subredes. Normalmente se utilizan los sitios para optimizar el trfico de replicacin entre los DC. Existen dos tipos de replicacin: Intrasite: se realiza entre DC del mismo sitio. Esta replicacin se activa por un evento, a los 15 segundos de producirse un cambio se activa la replicacin. Intersite: se realiza entre DC de distintos sitios. Esta replicacin es programada cada cierto tiempo y se realiza exista o no cambios. 6
Por tanto, con los sitios reducimos la transferencia de informacin entre los DC de distintos sitios. Otra ventaja para crear sitios es que, cuando un equipo realiza una llamada a un DC lo har preferentemente a un DC de su propio sitio. De esta forma, garantizamos que los usuarios se autentificarn a DC de su propia red o subred. Si no existen sitios, un usuario se autentificar a cualquiera de los DC del dominio, aunque se encuentren en otra red o en una ubicacin lejana. Un equipo reconoce a un DC de su red por la direccin IP.
Referencias a objeto
Para hacer referencia a un objeto podemos utilizar una referencia absoluta o relativa. Relativa: si estamos dentro de un dominio o de una OU podemos efectuar una bsqueda usando el nombre relativo. Ejemplo: CN=nombre. Absoluta: debemos ir desde la raz del dominio superior hasta llegar al dominio, OU y el objeto. Los dominios se identifican con DC, las OU con OU y el objeto con CN. Ejemplo: CN=francisco, OU=formacion, OU=patosoft, DC=patosa, DC=com Esto recuperara la cuenta de usuario francisco. Otra forma sera: Patosoft.patosa.com/formacion/francisco Esta forma se llama nombre cannico.
Maestros de operaciones
Existen algunas funciones que slo pueden ser realizadas por un servidor dentro del dominio y otras que slo pueden ser realizadas por un servidor dentro del bosque. A esos servidores se les llama maestros.
Funciones que deben estar disponibles dentro del bosque de un AD y que slo podr haber un equipo que realice cada una de estas funciones (puede que las realice un nico equipo):
Maestro de esquema: controla las actualizaciones y cambios del esquema. El esquema slo se puede modificar desde un CD, normalmente el primero en ser creado. Maestro de nombres de dominio: controla la incorporacin o eliminacin de dominios al bosque. Entre otras cosas, se encarga de validar los nombres de los nuevos CD para que no coincidan con otros.
Funciones que deben estar disponibles en todos los dominios AD, pero que slo va a poder realizar un equipo:
Maestro ID relativo o Maestro RID: asigna identificadores relativos a los CD. Los CD asignan un id de seguridad a cada usuario, grupo o equipo que se cree. Ese ID est formado por el id. de seguridad del dominio y el id. relativo. El ID de un objeto debe ser nico dentro del dominio. Para que no se pueda dar el caso de que dos CD le den el mismo ID a dos objetos, existe un maestro RID nico en el dominio que se encarga de darle rangos de id.relativos a cada CD de forma que un CD utilizar un rango ID distinto al de cualquier otro CD. Cuando un CD acaba su rango de ids le hace una peticin al maestro para que le asigne un nuevo rango de ids. Maestro emulador de PDC (Primary Domain Controller): permite compatibilidad con Windows NT. Procesa los inicios de sesin desde Windows NT, los cambios de contrasea y replica las actualizaciones en los BDC (Backup Domain Controller). Tambin gestiona las directivas de contrasea, si cambiamos una contrasea, nuestro CD recibe la peticin de cambio y se la enva al maestro PDC para que sea l el que realice el cambio, de esta forma centralizamos la tarea y evitamos problemas de incoherencia. Tambin se encarga de gestionar la marca horaria que se utiliza para la sincronizacin de los CD. Y algunas tareas ms. Maestro de infraestructura: tiene informacin parcial de todos los objetos del bosque para sincronizar cambios en los dominios del bosque. Si hay cambios en un objeto, el maestro de infraestructura los notifica al resto de maestros de
infraestructura de los otros dominios, de esta forma el bosque se mantiene actualizado. En un dominio slo puede haber un Maestro ID relativo, Maestro emulador de PDC y un Maestro de infraestructura.
BANPATO tiene sucursales en varios paises, para facilitar un rpido inicio de sesin y asegurar la disponibilidad en caso de que fallen las lneas de comunicacin necesitaramos un DC en cada pas. Vamos a implementar el dominio raz, un subdominio y el dominio raz de otro rbol del bosque. Cada uno de ellos es un servidor diferente y en localizaciones distintas, pero con la infraestructura necesaria para comunicarse.
El primer paso ser registrar los dominios y subdominios que vamos a utilizar. Los dominios de primer nivel (patosa.com y lcl.com) deberan registrarse en un servidor DNS pblico, mientras que los subdominios se registraran en un servidor DNS propio. Nuestro server DNS puede estar instalado en cualquier ordenador con cualquier sistema operativo, lo nico necesario es que los servidores que sean DC estean configurados de forma que puedan utilizar esos servidores de DNS. Instalacin del DC raz: ser la raz del primer rbol y del bosque de dominios de la empresa. Ser patosa.com. es necesario tener al menos una unidad de almacenamiento con NTFS. Al crear el nuevo DC, que ser la raz del rbol y del bosque, le damos el nombre patosa.com, este nombre debe estar ya registrado en el servidor DNS (en el pblico). El DA crea en cada DC una base de datos con informacin de todos los objetos que se van definiendo y un archivo de registro. Tambin se necesita una carpeta compartida donde se almacena el contenido pblico del dominio. Lo recomendable es que la base de datos est en una unidad de almacenamiento distinta a la del registro, de esta forma se mejora el rendimiento del dominio. La carpeta compartida sirve para almacenar elementos pblicos del dominio como polticas de grupo, que se replicarn entre todos los DC. Una vez instalado el DC raz pasaremos a instalar los controladores de los subdominios, por ejemplo, patosoft.patosa.com. al crear el subdomoino debemos indicar el dominio raz del que formar parte, es decir, patosa.com. Ahora tenemos en la organizacin un bosque con un rbol compuesto por un dominio raz del que formar parte, es decir, patosa.com. Ahora tenemos en la organizacin un bosque con un rbol compuesto por un dominio raz y un sudominio. Vamos a aadir un nuevo rbol al bosque, lcl.com. Tambin podramos instalar nuevos DC para un dominio, por ejemplo, porque el dominio abarca varias localizaciones geogrficas. Debemos indicar para que dominios queremos crear el DC. El nuevo DC puede configurarse como de slo lectura de manera que ser una copia idntica del primer DC pero no permitir realizar modificaciones.
Administracion de la seguridad
Los DC alojan la informacin y las funciones para autenticar los inicios de sesin y autorizar el acceso a los recursos. Ahora debemos crear las OU y cuentas de equipos y usuarios. El DC contendr OU y stas a su vez podrn contener ms OU. El aspecto ms interesante de las OU es enlazar directivas de grupo, de forma que stas recaigan sobre los objetos de la OU. En una OU podemos meter de todo, excepto dominios.
Gestin de grupos
Cada cuenta de usuario puede formar parte de varios grupos. Existen grupos ya predefinidos y podemos crear otros. 10
Cuentas de usuario
Dentro de las OU crearemos las cuentas de usuario (tambin se pueden crear fuera de la OU). Podemos agregarle a las cuentas de usuario grupos. El siguiente paso sera establecer los recursos compartidos, carpetas, impresoras que pueden estar en el DC o en cualquier equipo del dominio.
Cambio de contraseas
El cambio de las contraseas por parte de los usuarios es una tarea que se encuentra centralizada en un nico DC, es lo que se conoce como rol maestro. Por ejemplo, cuando un usuario desde un equipo cambia su contrasea, esta peticin es enviada hasta el DC correspondiente, si ese controlador de dominio no es el que tiene el rol maestro, va a redirigir dicha peticin hacia el DC que posee ese rol, que ser el nico que puede realizar el cambio de las contraseas. De esta forma, se evita el problema de que dos usuarios conectados con la misma cuenta intenten cambiar la contrasea de forma simultanea.
Herramientas de administracin
MMC (Microsoft Management Console)
Interfaz grfica que nos permite agregar complementos para actuar sobre determinados objetos del sistema. Nos permite crear consolas personalizadas con los objetos que deseemos administrar. Se ejecuta con el comando mmc.
Existen 3 consolas creadas por defecto en el sistema operativo, son: Usuarios y equipos: para crear usuarios, grupos, equipos y OU, y gestionarlos. Dominios y relaciones de confianza: para crear dominios y relaciones de confianza entre dominios. 11
Sitios y servicios
Lnea de comandos
Permite administrar el sistema mediante la introduccin de comandos. Suele utilizarse por personal con un nivel tcnico alto y permite realizar ciertas tareas de una forma ms rpida que a travs de la mmc. Se ejecuta con el comando cmd.
Servidor DNS
Para instalar un DC es necesario tener un servidor de DNS. Dicho servidor puede ser un servidor windows o cualquier otro. El nico requisito es que sea accesible desde el DC y que permita actualizaciones dinmicas, es decir, que permita registrar dominios. En el estndar DNS, uno de servidores ser de lectura y escritura (DNS primario) y el resto de servidores (DNS secundarios) copiarn la informacin del primario. En Windows Server 2008 podemos integrar el servicio de DNS con el DC. Con esto el DC integra el fichero de DNS dentro de la base de datos del controlador pasando a formar parte de la informacin del directorio activo y, por tanto, todos los DC pasan a compartir dicha informacin y a poder modificarla, es decir, trabajaran como servidores DNS primarios. El servicio de DNS es un servicio poco pesado y que normalmente puede funcionar perfectamente dentro del mismo servidor donde tenemos un DC.
Notas
SMB Server Message Block (SMB) es un protocolo de la capa de aplicacin que permite compartir archivos e impresoras entro los nodos de una red. Es utilizado principalmente en ordenadores con Microsoft Windows. Existe una implementacin libre del protocolo, Samba, que funciona sobre sistemas operativos GNU/Linux y otro UNIX.
12
Fuentes
Manual avanzado de Windows Server 2008. Francisco Chante Ojeda. ANAYA. 2008. Internet Acad. Postal
13