Escolar Documentos
Profissional Documentos
Cultura Documentos
Server 2003
Controlador de dominio
Un dominio es un conjunto de ordenadores conectados en una red que confían a uno de los
equipos de dicha red la administración de los usuarios y los privilegios que cada uno de los
usuarios tiene en dicha red.
Primero deberiamos saber ¿qué es un dominio?, en lenguaje poco técnico podriamos decir
que un dominio es un conjunto de máquinas de una red que comparten recursos técnicos y
usuarios. Por que lo describo así, muy sencillo, cuando se decide crear un dominio se
necesita disponer de una infraestructura de red, se necesitan unas máquinas conectadas a
esa red y definidas como pertenecientes a ese DOMINIO y se necesitan un conjunto de
usuarios también pertenecientes a ese dominio, (definido usuario como login y password).
¿Como se define todo eso?, pues con la instalación de un controlador de dominio, muy
bien y eso ¿qué es?, un controlador de dominio es un servidor de una red, pero un poco
especial, sería como la madre de todos los servidores.
Las contraseñas escogidas en la red deben ser contraseñas seguras. No solamente las
contraseñas de los servidores sino también la de los usuarios que inician sesión en sus
puestos de trabajo. Pongamos un ejemplo: la palabra "cerrojo" no es en absoluto una
contraseña segura puesto que es una palabra de diccionario. Los diccionarios se pueden
utilizar para hacer ataques de fuerza bruta desde la primera palabra hasta la última, hasta
que se encuentre alguna coincidencia. Sin embargo, nosotros podemos camuflar esta
palabra mediante algún número o símbolo. La palabra "cerrojo56" es ya mucho más difícil
de descifrar. También se pueden combinar números y letras en mayúsculas tratando de
buscar algún sistema que nos permita recordar la contraseña. Por ejemplo, "cErr0j0". Las
contraseñas deben tener más de 5 o 6 caracteres. Cuanto más larga sea la contraseña, más
complicado será romperla. Otro método para inventarse contraseñas es utilizar las iniciales
de frases. Sin embargo, las frases tampoco deben ser muy conocidas puesto que las iniciales
más habituales se encuentran también en diccionarios de hackers (por ejemplo, "euldlm" =
En un lugar de la Mancha).
Las contraseñas se deben renovar periódicamente (cada dos meses, por ejemplo) por si
alguna hubiese podido ser descubierta. Además, se deben utilizar contraseñas distintas para
cada servicio de la red. Por ejemplo, sería una temeridad utilizar la misma contraseña para
el correo electrónico que para la cuenta de administrador de un servidor. ¿Por qué?
Sencillamente porque una contraseña de correo no viaja encriptada por la red y podría ser
descubierta fácilmente.
Es preferible que las zonas pública y privada de nuestra red utilicen cableado distinto.
Así evitaremos que un servidor de la zona pública comprometido pueda escuchar tráfico de
la zona privada. Veamos dos ejemplos:
• Configuración incorrecta. El servidor proxy que separa las zonas pública y privada
utiliza una sola tarjeta de red. Tanto los servidores públicos como los puestos de
trabajo internos comparten el mismo cableado, es decir, se pueden conectar
indistintamente a cualquier puerto libre de cualquier hub de la red. Y, lo que es más
grave, cualquier usuario podría autoasignarse una IP pública y comprometer toda la
seguridad de la red.
• Configuración correcta. El servidor proxy utiliza dos tarjetas de red. Una tarjeta de
red se conecta al hub de la zona pública y la otra, al hub de la zona privada. La
única vía física posible de pasar de una zona a otra es mediante el servidor proxy. Si
un usuario trata de asignarse una IP pública a su puesto de trabajo quedará aislado
de todos los demás.
Los servidores, ¿en la zona pública en la zona privada? Estamos de acuerdo en que los
servidores tienen que tener direcciones IP públicas para que sean accesibles desde todo
Internet. Sin embargo, no suele ser recomendable asignar directamente las IP públicas a los
servidores. En su lugar se les puede asignar direcciones privadas e implantar un sistema de
traslación de direcciones públicas-privadas. De esta forma se consigue que todo el tráfico
público de la red se filtre por un router o/y cortafuegos antes de llegar a los servidores. Por
ejemplo: el servidor web de la empresa puede tener la dirección 194.142.15.8 de cara a los
visitantes pero la dirección 192.168.0.3 en su configuración. Un servidor previo
(cortafuegos) tendrá la dirección 194.142.15.8 configurada y redirigirá las peticiones al
puerto 80 de esta IP al servidor 192.168.0.3. Esta traslación de direcciones la pueden
realizar routers correctamente programados o bien, máquinas Linux, las cuales se
desenvuelven muy eficazmente en estas tareas. ¿Qué ocurre si alguien intenta acceder a un
puerto distinto al 80 de la IP 194.142.15.8? Sencillamente que el cortafuegos rechazará la
conexión sin molestar al servidor web que ni siquiera advertirá este intento de conexión.
Los servidores públicos protegidos bajo este esquema pueden dedicarse únicamente a sus
tareas, sin malgastar recursos en la defensa de ataques.
Por último, debemos recordar que el servidor de archivos debe estar correctamente
configurado de forma que cada usuario pueda ver únicamente sus archivos pero no los de
los demás usuarios. En el caso de redes grandes puede resultar interesante la división de
departamentos en subredes (con cableado separado además) con el fin de crear unidades de
administración independientes. De esta forma los usuarios de un departamento serán
completamente independientes de los de otros departamentos. En este esquema se utiliza un
servidor de archivos para cada subred y un router con tantas tarjetas de red como
departamentos para interconectarlos.
Todo lo anterior son ideas que nos pueden guiar durante el diseño de una red segura. Cada
caso hay que estudiarlo por separado evaluando los factores coste, nivel de seguridad
requerido, comodidad de los usuarios y facilidad de administración.
Si optamos por una red cliente/servidor, nos tropezaremos con el concepto de dominio. Un
dominio se trata de una forma de agrupación de ordenadores cuyo objetivo fundamental es
que la seguridad de la red este centralizada en uno o más servidores. En ocasiones,la red es
demasiado grande para crear sólo un dominio, por lo que aparecen múltiples dominios,
cada uno de ellos con servidores que controlan los recursos de su dominio.
Para configurar la función que va a hacer nuestro equipo en la red podemos utilizar la
herramienta “Administre su servidor” ubicada dentro de las herramientas administrativas o
mediante Ejecutar>dcpromo.exe.
- Microsoft Windows Server 2003 Standar Edition, Enterprise Edition o Datacenter Edition.
- 250 Megabytes de espacio de disco. 200 MB para la base de datos de Active directory y
50 MB para los logs de transacciones del directorio activo.
- Una partición o un volumen con formato NTFS. La partición NTFS se requiere para la
carpeta SYSVOL.
- TCP/IP instalado.
Nota: Si queremos sacar más provecho de todas las prestaciones que tiene Windows
Server 2003 y la tecnología de Servidor Central habrá ciertas características más
especiales en cuanto al hardware que ocuparemos en él, como pueden ser los
listados a continuación:
− Raid de discos SCSI (Preferiblemente RAID 4 ó RAID 5). Para ello debemos contar
con una controladora de discos RAID compatible con la PC que sería nuestro
servidor, o en tal caso un “rack” de discos compatible.
− Fuente de Poder Dual. Se pretende que el servidor SIEMPRE permanezca
encendido sin interrupciones de cualquier tipo, principalmente la alimentación
eléctrica, y es por ello que debemos descartar cualquier interrupción por causa de
falla de la fuente de poder.
− Como mínimo se necesita dos tarjetas de red instaladas en el servidor. Una tarjeta
estará destinada al flujo de datos del exterior de la red privada (por ejemplo
Internet), y la otra tarjeta será exclusiva para compartir los datos a nivel de dominio
y para compartir los servicios del controlador del dominio con las computadoras
clientes del dominio. Por ello ambas tarjetas deben ser muy estables.
− Para obtener estas y muchas más prestaciones adicionales recomiendo un Servidor
HP Proliant, por sus excelentes capacidades, durabilidad y estabilidad; además de
tener la ventaja de la asistencia técnica y garantía que ofrece la empresa.
Servidor DNS
El Domain Name System (DNS) es una base de datos distribuida y jerárquica que
almacena información asociada a nombres de dominio en redes como Internet. Aunque
como base de datos el DNS es capaz de asociar diferentes tipos de información a cada
nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y
la localización de los servidores de correo electrónico de cada dominio.
A partir de Windows 2000 WINS ha sido relegado en favor de DNS y Active Directory, sin
embargo, sigue siendo necesario para establecer servicios de red con versiones anteriores
de sistemas Microsoft.
Servidor de Correo
Un servidor de correo es una aplicación informática que nos permite enviar mensajes
(correos) de unos usuarios a otros, con independencia de la red que dichos usuarios estén
utilizando. Entre los más usados se encuentran sendmail y Exim este último
predeterminado en la distribución GNU/Linux Debian
Para lograr la conexión se definen una serie de protocolos, cada uno con una finalidad
concreta:
• SMTP, Simple Mail Transfer Protocol: Es el protocolo que se utiliza para que dos
servidores de correo intercambien mensajes.
• POP, Post Office Protocol: Se utiliza para obtener los mensajes guardados en el
servidor y pasárselos al usuario.
• IMAP, Internet Message Access Protocol: Su finalidad es la misma que la de POP,
pero el funcionamiento y las funcionalidades que ofrecen son diferentes.
Así pues, un servidor de correo consta en realidad de dos servidores: un servidor SMTP que
será el encargado de enviar y recibir mensajes, y un servidor POP/IMAP que será el que
permita a los usuarios obtener sus mensajes.
Actualmente existen servidores de impresora tanto para interfaz paralela, como por USB.
En este caso existe también la posibilidad de tener una impresora de red, como su nombre
lo indica este tipo de impresora se conecta a través de cable UTP a la red teniendo los
controladores necesarios para imprimir desde cualquier estación de trabajo conectada a la
red, sin necesidad de tener una PC dedicada al servidor de impresión.
Servidor de Archivos
Tipo de servidor en una red de ordenadores cuya función es permitir el acceso remoto a
archivos almacenados en él o directamente accesibles por este. En principio, cualquier
ordenador conectado a una red con un software apropiado, puede funcionar como servidor
de archivos a través de los protocolos SMB/CIFS y NFS. Desde el punto de vista del cliente
de un servidor de archivos, la localización de los archivos compartidos es transparente. O
sea, normalmente no hay diferencias perceptibles si un archivo está almacenado en un
servidor de archivos remoto o en el disco de la propia máquina.
Servidor de Terminal
Los servicios de terminal (o terminal services) son un componente de los sistemas
operativos windows que permite a un usuario acceder a las aplicaciones y datos
almacenados en otro ordenador mediante un acceso por red.
Los Servicios de Terminal en Windows Server 2003 aportan, entre otras ventajas, nuevas
posibilidades para la implantación de aplicaciones, un acceso más eficiente a través de
líneas lentas, la reutilización de hardware antiguo y administración remota.
En el caso que queramos tener nuestra página Web accesible a cualquier persona deberemos
tener en nuestro servidor una IP Pública que dará el enlace a otras redes para poder ver
nuestro sitio Web, sino solamente los miembros de nuestra red podrán ver nuestro sitio
Web.
Seguridad
Cada cliente necesitará un cliente FireWall para poder conectarse con los protocolos
necesarios para poder ingresar a los distintos sitios de los programas, por ejemplo el
Internet o la mensajería instantánea. Para este caso se ocupará ISA SERVER 2000.
Al mismo tiempo la seguridad de Windows estará marcada por los usuarios de Active
Directory asignados en el controlador de dominio, denegando o permitiendo la ejecución de
programas en cada cliente. Por ejemplo puedo tener un cliente llamado “Admin” que tendrá
privilegios de Súper Usuario, permitiendo todas las aplicaciones y procesos del sistema; y
puedo tener otro usuario llamado “Cliente” que tendrá restringido usar el programa de
Mensajería Instantánea, el Correo Electrónico, el programa de Contabilidad, y cuantos
programas quiera permitir o denegar, al mismo tiempo si puede o no cambiar archivos del
sistema, configuraciones, etc., en fin dar privilegios completos o denegarlos desde el
servidor; teniendo en cuenta que estos usuarios tendrán acceso desde cualquier
computadora cambiando toda la seguridad de Windows dependiendo del cliente que haya
iniciado sesión
Infraestructura de Red
Para implementar dicha tecnología de servidor la red de datos tendrá las siguientes
características:
Nota: Los servicios antes mencionados tienen una validez de 60 días gratis de
mantenimiento y ajustes las ocasiones que sean necesarias hasta cumplir el plazo
designado. Se entregará un informe detallado de los servicios realizados en el
sistema, claves de acceso, diagrama del Active Directory y Perfiles de Usuarios del
sistema.
Plan de Mantenimiento Preventivo de Hardware y Software
Nota: La limpieza se hará a través de aire compresionado con soplete u otro medio y
franela humedecida en líquido limpiador para PC ó limpiador de contactos.
En el caso se encontrase un falla de hardware se cobrará de la forma “Mano de
Obra” + “Repuesto”; y en el caso de obtener por parte de la empresa el repuesto
necesario solamente se cobrará mano de obra adicional al mantenimiento
preventivo y proporcional a la falla, ya que en este caso se denominaría
“Mantenimiento Correctivo”.
* Mantenimiento Básico
** Mantenimiento Completo
Período de Mantenimiento
Se recomienda dar el mantenimiento básico cada 30 días y prolongar cada 90 días el
mantenimiento completo, o a criterio de las necesidades del cliente con un límite de 15 días
entre revisión por cada computadora, evitando así el desgaste de componentes internos por
causa de la apertura frecuente del chasis.
Horarios
El horario del mantenimiento preferiblemente puede ser por la tarde de Lunes a Domingo,
exceptuando el día Martes de 9:00 AM – 12:00 PM y de 1:00 PM – 5:00 PM; pudiéndose
tomar en cada ocasión un aproximado de 3-5 computadoras para su mantenimiento
llevando un control por cada computadora de la fecha próxima del mantenimiento y
continuando cada día con otro grupo de computadoras hasta completar el total de equipo
informático.
Presupuesto
El valor del mantenimiento preventivo por cada computadora será de $ 5.00 (Cinco dólares
americanos exactos) e incluye todos los puntos vistos anteriormente.
Plan de Mantenimiento Preventivo de
Hardware y Software y Plan de
Instalación y Configuración de
Servidor Central Dedicado Con red
Firewall y Seguridad de redes
Abril de 2008