Universidad Tecnològica de Querètaro Firmado digitalmente por Universidad Tecnològica de Querètaro Nombre de reconocimiento (DN): cn=Universidad Tecnològica de Querètaro, o=UTEQ, ou=UTEQ, email=vcruz@uteq.edu.mx, c=MX Fecha: 2014.05.19 12:53:38 -05'00' UNIVERSIDAD TECNOLOGICA DE QUERÉTARO Nombre del proyecto: “ACTIVE DIRECTORY EN LA RED ENTURA” Empresa: ENTURA Memoria que como parte de los requisitos para obtener el título de: INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN Presenta: GUDIÑO DE LEON ENEDELIA. Asesor de la UTEQ Ing. Vianey Noya Méndez Asesor de la Organización Lic. Luis Roberto Hernández Razo Santiago de Querétaro, Qro. Mayo del 2014 Resumen EL presente proyecto trata sobre la instalación de un Active Directory desarrollado en la empresa ENTURA La cual se dedica a brindar soluciones, medios y sistemas de pago, servicios de valor agregado y asistencia técnica y software. Se realiza la primera fase de la implementación de un Active Directory en la red “ENTURA” con la finalidad de brindar una administración adecuada, confiable y segura, a todos los usuarios conectados. Para la realización del presente proyecto se utilizó el sistema operativo Windows Server 2008 R2 Enterprise, el cual se instaló y configuró con el controlador de dominio UNION COOP.net, los roles de servicio de Active Directory y DNS. Se habilitaron carpetas compartidas para los departamentos, creación de unidades organizativas y a nivel de seguridad informática se implementaron GPO’s y los servicios de actualizaciones automáticas. Dada el futuro crecimiento de la empresa ENTURA, se realizaron algunas recomendaciones tales como: un servidor nuevo y la actualización del sistema operativo. 2 Summary I held my internship at ENTURA which is an international enterprise. I worked as a technical support assistant in the IT department along with seven other employees. I made the implementation of an Active Directory in the ENTURA network for the Management users, groups of users, computer systems, and services on its headquarters network. We reviewed the security of the Active Directory collection of resources and services used by components across the company through trusted connections. These resources and services provide department-wide access to data that supports department missions but require measures to ensure their confidentiality, integrity, and availability. The servers that host these resources must maintain the level of security mandated by department policy. I liked working at ENTURA because I acquired knowledge about the network management, how to create a Group policy, Groups Directory and the network security. These practices supported me in my vocational training and in the direct interaction with the workplace. 3 Agradecimientos Le agradezco primero a Dios, por darme la oportunidad de vivir y darme las herramientas para poder salir adelante A mi madre porque gracias a su cariño, guía y apoyo he llegado a realizar uno de mis sueños en la vida y con el cual he logrado terminar mis estudios profesionales que constituyen el legado más grande que pudiera recibir y por lo cual viviré eternamente agradecida. A mis hermanos, abuela y tíos, por el apoyo moral, comprensión y estímulos brindados, me alentaron a logar esta etapa de mi vida. Así mismo le agradezco a la empresa ENTURA Por haberme dado el apoyo de pertenecer dentro de su equipo de trabajo, y darme la oportunidad de trabajar y estudiar, así como también mis compañeros de trabajo. 4 Índice Página Resumen ............................................................................................................. 2 Summary ............................................................................................................. 3 Agradecimientos ................................................................................................. 4 Índice .................................................................................................................. 5 I INTRODUCCIÓN .............................................................................................. 7 II ANTECEDENTES ............................................................................................ 8 II.I Datos Generales. ........................................................................................ 8 II.I.I Nombre o razón social de la empresa: .................................................. 8 II.I.II Ubicación de la empresa: ..................................................................... 8 II.I.III Giro de la empresa: ............................................................................. 8 II.I.IV Rama:.................................................................................................. 8 II.II Breve reseña histórica de la empresa........................................................ 9 II.III Organigrama de la empresa ................................................................... 11 II.IV Misión, Visión y Políticas. ....................................................................... 11 II.V Necesidades de la implementación del proyecto .................................... 13 II.VI Análisis actual de la red “ENTURA”........................................................ 15 III JUSTIFICACIÓN ........................................................................................... 16 IV OBJETIVOS.................................................................................................. 17 IV.I Objetivo General...................................................................................... 17 IV.I.I Objetivos Específicos. ........................................................................ 17 V ALCANCE ...................................................................................................... 18 VI ANÁLISIS DE RIESGOS .............................................................................. 19 VI.I Limitaciones............................................................................................. 19 VII FUNDAMENTACIÓN TEÓRICA .................................................................. 20 VIII PLAN DE ACTIVIDADES............................................................................ 22 IX RECURSOS MATERIALES Y HUMANOS ................................................... 23 5 IX.I Recursos Materiales. ............................................................................... 23 IX.II Recursos Humanos ................................................................................ 27 X DESARROLLO DEL PROYECTO ................................................................. 28 X.I Análisis. .................................................................................................... 28 X.I.I Levantamiento de Requerimientos ...................................................... 28 X.II Implementación y Desarrollo. .................................................................. 28 X.II.I Instalación de Windows server 2008 R2 Enterprise ........................... 28 X.II.II Configuración de los discos duros en RAID 1 ................................... 29 X.II.III Instalación del rol de servicio del Active Directory............................ 30 X.II.IV Instalación de controlador de dominio ............................................. 31 X.II.V Configuración de servidor DNS ........................................................ 33 X.II.VI Creación de cuentas de usuarios al dominio “ENTURA” ................. 36 X.II.VII Unir usuarios al domino .................................................................. 37 X.II.VIII Creación de grupos al dominio ...................................................... 39 X.II.IX Creación de unidades organizativas ................................................ 41 X.II.X Asignación de grupos a unidades organizativas ............................... 42 X.II.XI Asignación de cuentas de usuarios a grupos .................................. 42 X.II.XII Crear carpetas compartidas ............................................................ 43 X.II.XIII Permisos de carpetas compartidas ................................................ 44 X.III Asignación de objetos de directiva de grupo (GPO) a los usuarios de Active Directory .............................................................................................. 46 X.IV Configuración de WSUS ........................................................................ 50 X.V Configuración del equipo de seguridad (SonicWALL) ............................. 51 XI RESULTADOS OBTENIDOS ....................................................................... 53 XII CONCLUSIONES Y RECOMENDACIONES ............................................... 54 XII.I Conclusiones .......................................................................................... 54 XII.II Recomendaciones ................................................................................. 55 XIII ANEXOS XIV BIBLIOGRAFÍA 6 I INTRODUCCIÓN Hoy en día se necesita tecnología más avanzada para cualquier tipo de empresa o departamento, que cuente con sistemas computacionales, capaces de hacer más sencilla, rápida y prácticas las exigencias que el futuro plantea. Es por ello que Entura. ha requerido la implementación de un Active Directory dentro de su red LAN, para una mejor infraestructura de red para todos sus equipos, así como la disminución del tráfico, para una mejor optimización de sus recursos, que será capaz de administrar todos los usuarios conectados, logrando un buen desempeño de la misma. El presente desarrollo lleva como tema principal “Active Directory en la red ENTURA” el cual consistirá en la implementación de un Active Directory en la red, para la empresa ENTURA., específicamente para la empresa ENTURA, en el estado de Querétaro, el cual comprende como la primera fase de pruebas durante el periodo de Enero- Abril de 2014. El presente documento se divide en varios capítulos, en los cuales se recogen todos los datos, características obtenidas, desarrollo del proyecto, resultados obtenidos, conclusiones y las recomendaciones realizadas para correcto funcionamiento del Active Directory. 7 II ANTECEDENTES II.I Datos Generales. II.I.I Nombre o razón social de la empresa: UNION COOP S.A. DE C.V. II.I.II Ubicación de la empresa: Av. Plateros No. 102, Col. Carretas, CP: 76050 Tel: (442) 2121202. Módulo de Policía Figura 1. Ubicación de ENTURA II.I.III Giro de la empresa: Servicios. II.I.IV Rama: Tecnologías de la Información. 8 II.II Breve reseña histórica de la empresa Union Coop es una sociedad anónima de capital variable, constituida por el Consejo Mundial de Cooperativas de Ahorro y Crédito (WOCCU) por medio de ella se crea Woccu Services Group Inc. por medio de esta, se establecen empresas en México, Ecuador, Perú, Bolivia, Colombia y Kenia, cuyo objetivo es invertir en el desarrollo de medios y sistemas de pago para entidades financieras del sector popular no bancario acelerando su crecimiento y competitividad en el mercado. La empresa UNION COOP forma parte de una cadena de empresas a nivel internacional con participación en los diferentes mercados. Razón por la cual es necesario unificar y definir una misma identidad para todas las WSG, una sola marca, una misma imagen, un elemento gráfico, ante esta necesidad surge ENTURA, la nueva marca a nivel internacional, misma que deberá posicionarse hacia el interior y al exterior de cada una. Es importante mencionar que esta nueva marca tiene la misión más importante de cualquier empresa de reciente creación y es el “Formar una Identidad Corporativa”, siendo está definida con valores sociales, organizaciones y económicos. Hoy las WSG tienen una gran misión, el iniciar con el proceso de cambio para consolidar el posicionamiento de la nueva marca “ENTURA”, ante esta transformación, es de suma importancia considerar realizar todos aquellos cambios y/o modificaciones que sean pertinentes y acordes a la misión. Por 9 esta razón WSG MÉXICO, tomo la decisión de iniciar mirando hacia el interior de la empresa y analizando los valores organizacionales con los que actualmente cuenta, esto con la finalidad de mejorarlos y maximizar los recursos con los que actualmente cuenta. La empresa ENTURA, actualmente está integrada por alrededor de 35 personas, si bien, no es una entidad con un número significativo de empleados, si es una empresa con una visión clara y objetiva de crecimiento. Por su elemento humano se ubica como una Pyme, a corto plazo, pues como toda entidad está invirtiendo capital constantemente para renovar tecnología e ir así, formando un camino de éxito. Está ubicada en el Estado de Querétaro, por ser este un estado líder en el sector cooperativo, recordemos que Union Coop es una filial de WOOCU, (Consejo Mundial de Cooperativas) así mismo, sus accionistas son líderes en el sector cooperativo, la idea es ayudar a que México pueda extender sus alas en la cultura financiera sin importar el sector en el que sus usuarios se desenvuelvan, pudiendo ser este el sector de clase baja u alta. 10 II.III Organigrama de la empresa Hoy en día ENTURA, presenta una estructura organizacional de la siguiente forma: Figura 2. Organigrama ENTURA II.IV Misión, Visión y Políticas. ENTURA es una empresa que brinda soluciones y medios de pago que tiene como objetivo principal el reforzar la lealtad y crecimiento de los socios o clientes de las instituciones, la automatización de procesos y desarrollo de una red financiera en el ámbito Nacional e Internacional. 11 Buscamos ser el Back Office de las instituciones en diversas soluciones de negocio y sistemas transaccionales. En ENTURA – Union Coop- desarrollamos una filosofía de negocios que permita impulsar esquemas de participación y satisfacción de las necesidades de nuestros Clientes, bajo la premisa de búsqueda de productos y servicios que fortalezcan su crecimiento, competitividad y viabilidad en el mercado. Misión. Construir nuevas vías para la inclusión financiera. Visión. Ser el principal socio estratégico de nuestros clientes para la competitividad. Políticas. Las políticas empresariales son decisiones corporativas mediante las cuales se definen los criterios y se establecen los marcos de actuación que orientan la gestión de todos los niveles de la Sociedad en aspectos específicos. Una vez adoptadas, se convierten en pautas de comportamiento no negociables y de obligatorio cumplimiento, cuyo propósito es reducir la incertidumbre y canalizar todos los esfuerzos hacia la realización del objeto social de la Sociedad. Las políticas empresariales son las siguientes: 12 Ser parte de un modelo de negocios enfocado, especializado y pensado para cooperativas y otras instituciones financieras no bancarias. Brindar acceso a economías de escala para incorporarse a medios y sistemas de pago, tomando ventaja en costos que si lo hiciera individualmente. Generar costos relativos más bajos con el fin de que nuestros clientes puedan a su vez brindar accesibilidad a los productos a sus socios y usuarios. La empresa está consolidada a un modelo de negocios que permite crecer los puntos de servicio a los socios, incorporar nuevas tecnologías y profundizar la relación financiera con los socios y usuarios. II.V Necesidades de la implementación del proyecto Hoy en día “ENTURA” cuenta con una pequeña red LAN que conecta 20 equipos aproximadamente, donde los usuarios acceden a la red de manera libre y sin restricciones, es decir realizan la instalación de cualquier tipo de programa, ingresan a páginas sociales, informativas, ciencia, etc. No existe como tal una administración adecuada que controle el acceso de los equipos y/o usuarios; es decir, no hay políticas de seguridad que restringa el número de usuarios conectados, que permitan o denieguen el acceso a determinados sitios. Por consecuencia hace que la red se vuelva vulnerable ante cualquier amenaza que pudiera provenir de algún equipo infectado o de internet. 13 En auditoria realizadas a los equipos de cómputo se han detectado que los usuarios instalan programas de cualquier tipo que no son de uso laboral como: • Ares • aTube Catcher • Facebook video calling • Free YouTube to MP3 Converter version. • Spotify • Age of empires ll:HD edition • Left 4 Dead2 • VLC media player. La utilización de alguno de estos programas incrementa la saturación en la red por la cantidad de paquetes que se descargan de internet, un ejemplo de esto es Ares. El cual es un software libre que permite la descarga de música y videos de internet, normalmente este programa baja muchos virus (Troyanos, Gusanos y spyware) y se expanden rápidamente en el equipo, incluso en la red donde se encuentre conectado. 14 II.VI Análisis actual de la red “ENTURA” De acuerdo al análisis planteado por el área de TI, la problemática ha surgido en los últimos años debido a la conexión de muchos equipos de cómputo, móviles y periféricos, ya que no se tiene un control de ellos. Actualmente la red “ENTURA” se encuentra estructurada tal como se muestra en la Figura 3. Se ha detectado que donde se presenta mayor saturación es donde está ubicado el modem del INFINITUM 1 porque tiene conectados dos Access Point (UC, UC2) los cuales distribuye el internet a la mayoría de los equipos o dispositivos, lo cual puede llevar la posibilidad de que en algún momento el modem ya no soporte la conexión de tantos equipos o que constantemente pierda señal del internet y esto afectaría el bajo rendimiento y funcionamiento de la red. Figura 3. Diagrama de estructuración de red “ENTURA. 15 III JUSTIFICACIÓN La implementación del Active Directory en ENTURA, surge como una necesidad para la empresa, puesto que al día de hoy no tiene la administración adecuada y confiable en su red. Se ha realizado auditorías a los equipos donde se ha visto que los usuarios instalan cualquier tipo de programas, y no se cuenta con una seguridad que restinga el accesos a los dispositivos en la red. Anteriormente se tenía considerado implementar otras aplicaciones para el control y administración de la red como: Active Directory Management Solutions, Strike LANState, Ammyy Admin y Network and Security Manager. Lamentablemente son herramientas costosas y necesitan tiempo para su implementación. Por ello se buscó una aplicación de bajo costo como lo es el Active Directory o Directorio Activo. Es una base de datos distribuida que permite almacenar información relativa a los recursos de una red con el fin de facilitar su localización y administración. Viene integrado en los sistemas operativos de Windows Server 2003, 2008 y 2012. Algunas de sus principales ventajas del Active Directory son: Buena administración y control en la red. Mayor seguridad y confiablidad. No representa una inversión costosa. Es fácil de implementar. Escalabilidad en un futuro. 16 IV OBJETIVOS IV.I Objetivo General. Realizar la Implementación de un Active Directory en la red “ENTURA” con la finalidad de brindar una administración adecuada, confiable y segura, a todos los usuarios conectados. IV.I.I Objetivos Específicos. Adaptar soluciones óptimas y eficaces para el buen rendimiento de la red. Adaptar políticas (GPO) al dominio Entura, que ayuden a la administración, seguridad, y confiabilidad de la red. Administrar todos los equipos conectados para brindar una mejor seguridad y confiabilidad. Optimizar los recursos de la red, que permita reducir el tráfico en internet para obtener un máximo aprovechamiento del ancho de banda. Realizar la implementación de servicios de actualizaciones Automáticas a través de los servicios de (WSUS). 17 V ALCANCE Con la implementación del Active Directory será capaz de: Controlar el acceso de todos los equipos mediante la asignación de los usuarios y contraseñas establecidos por el administrador. Reducir el tráfico en internet para un mejor aprovechamiento en la red. Seguridad y protección para los usuarios. Creación de Políticas de Grupos (GPO), para la gestión y administración adecuada de los usuarios conectados al dominio. Asegurar la integridad y la protección de la información. Mantener actualizaciones al día para los equipos (software) conectados al dominio, mediante la configuración de los servicios (WSUS) del Active Directory. Generar carpetas compartidas a los usuarios, para el almacenamiento de su información. 18 VI ANÁLISIS DE RIESGOS VI.I Limitaciones. Falta de recursos en equipo de cómputo: Los equipos que se utilizarán para la realización de las pruebas no dispone de gran capacidad de almacenamiento y esto puede ocasionar que las pruebas no se realicen adecuadamente. Recursos para la implementación del proyecto: En estos momentos Entura tiene varios proyectos en puerta y hay probabilidad de que no se pueda invertir para el desarrollo de este proyecto por la falta de recursos económicos. Lugar adecuado para la realización del proyecto: Debido al poco espacio que dispone el Área de TI, es posible que aquí no se pueda desarrollar el proyecto, por la cantidad de persona que laboran en este departamento. 19 VII FUNDAMENTACIÓN TEÓRICA Como se indicó en capítulos anteriores, el propósito del presente proyecto es implementar un Active Directory en la empresa ENTURA. Indiscutiblemente se tiene que recurrir a la teoría para fundamentar y desarrollar el proyecto. En el presente capítulo se mencionarán las diversas aplicaciones y enfoques teóricos respecto al proyecto de Active Directory. Microsoft introdujo el primer Active Directory con Windows 2003, con el propósito de facilitar la administración y seguridad de la red. Active Directory es un componente central de los sistemas Operativos servidor Windows. Un servicio de directorios provee un lugar para almacenar información sobre entidades de red: Aplicaciones archivos, impresora y usuarios. Proporcionando un camino eficiente y seguros para la localización, el acceso y la gestión de estos recursos. Su estructura jerárquica permite mantener una serie de objeto relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. Active Directory utiliza distintos protocolos: LDAP, DNS, DHCP, Kerberos, entre otros, además está basado en una serie de estándares llamados X.500: el cual define como un conjunto de estándares de redes de ordenadores de la ITU-T sobre servicios de directorio, entendidos estos como bases de datos de direcciones electrónicas (o de otros tipos). 20 Los protocolos que serán utilizados en la elaboración del proyecto son: Protocolo DNS. Es un sistema de nombre que permite traducir de nombre de dominio a dirección IP y vice-versa. Permite que como usuarios usemos nombre de dominio que es bastante más simple de recordar que las direcciones IP, cada componente del dominio y (también la raíz) tienen un servidor primario y varios servidores secundarios. Un controlador de dominio: El dominio es la unidad básica de la estructura lógica de Active Directory. Todos los objetos que comparte una base de datos de directorio común, la relación de confianza con otros dominios y políticas de seguridad que se conoce como dominio. Cada dominio almacena solamente la información acerca de los objetos que pertenecen a dicho dominio. Unidades Organizativas: Contenedor de objetos albergada en un dominio, dentro de este hay infinidad objetos sean “usuarios o equipos”. GPO (Group Policy Object): conjunto de una o más políticas del sistema, cada una de las políticas del sistema establece una configuración del objeto al que afecta. 21 VIII PLAN DE ACTIVIDADES Figura 4. Plan de Actividades. 22 IX RECURSOS MATERIALES Y HUMANOS IX.I Recursos Materiales. A continuación se presentan los recursos materiales que serán utilizados para el desarrollo del proyecto. Windows Server 2008 Enterprise EQUIPO O MATERIAL DESCRIPCIÓN Windows Server 2008 R2 basado en el galardonado sistema operativo Windows Server 2008 le ayuda a alcanzar nuevos niveles de confiabilidad y rendimiento con: Herramientas de vitalización Recursos web Mejoras de administración Integración con Windows 7 Figura 5. Windows server 2008 Enterprise. Estas características le ayudan a ahorrar tiempo, reducir costos y proporcionar una plataforma para un centro de datos dinámico 23 y administrado de manera eficiente. Herramientas eficaces como Internet Information Services (IIS) versión 7.5, plataformas actualizadas de Hyper-V y Administrador dinámica, de servidores, RemoteFX y memoria Windows PowerShell versión 2.0 se combinan para brindar a los clientes un mayor control, una mayor eficiencia responder con y la más capacidad rapidez a de las necesidades empresariales de primera línea. Servidor Hp Proliant DL380 G6 EQUIPO O MATERIAL DESCRIPCIÓN Modelo ID AX693A / "HP ProLiant DL380 G6 - Servidor - se puede montar en bastidor - 2U - 2 vías - 2 x Xeon E5540 / 2.53 GHz - RAM 8 GB - SATA/SAS - hot-swap 2.5"" - Figura 6. Servidor HP ProLiant DL380 disco duro 4 x 300 GB - ATI ES1000 G6. 24 - Gigabit Ethernet - Monitor: ninguno " / El servidor HP ProLiant DL380 G6. . Antivirus Kaspersky 2014 EQUIPO O MATERIAL DESCRIPCIÓN El antimalware en tiempo real lo protege contra amenazas nuevas y emergentes. La protección web lo protege contra ataques de malware sofisticados y basados en la web. Figura 7. Antivirus Kaspersky 2014. Optimizado para ayudarle a mantener el rendimiento de su PC. Diseñada para facilidad de uso. 25 ofrecer Disco Duro Interno 2.5 EQUIPO O MATERIAL DESCRIPCIÓN Interfaz: SATA 3Gb / s. Capacidad: 1.0 TB Capacidad con formato: 931GiB. Velocidad de rotación: 5400 RPM. Caché / Buffer de datos: 8 MB. Velocidad de transferencia (máx.): 3.0 Gb / s. Figura 8. Disco duro Interno 2.5 1TB. Tiempo medio de acceso: 12.0ms. Latencia media: 5.6ms. Inicio máxima de corriente continua: 1.0 amperios. 26 IX.II Recursos Humanos Tabla de recursos humanos para el proyecto Nombre Lic. Luis Roberto Cargo Rol dentro del proyecto Líder del Área de TI. Estará a cargo de revisar Hernández Razo. el proyecto concluido. Se encargará de Lic. Janet Jiménez Rodríguez. Encargada del Área de Infraestructura. coordinar el proyecto y de estar revisando constantemente los avances. ING. Enedelia Gudiño Practicante. de Leon. Realizará la parte de implementación y desarrollo del proyecto. Tabla 1. Recursos Humanos. 27 X DESARROLLO DEL PROYECTO X.I Análisis. X.I.I Levantamiento de Requerimientos Como primer punto se levantó los requerimientos del proyecto, los cuales involucra las necesidades del cliente, y la realización de una auditoria a todos los equipos de cómputo, basándose en un formato que el personal de ENTURA proporcionó. Se empezó revisando con la coordinadora del proyecto la parte de planeación, la problemática del porqué la implementación de un Active Directory en la red “ENTURA”, posteriormente se empezó a realizar auditoria a cada equipo de cómputo, y así determinar las causas y justificación del problema. X.II Implementación y Desarrollo. X.II.I Instalación de Windows server 2008 R2 Enterprise Una vez finalizada el levantamiento de requerimientos, se procedió a instalar el Windows Server 2008 R2 Enterprise al Servidor HP Proliant DL380 g6 Configurando los Parámetros mostrados a continuación: 28 Características de instalación del servidor HP ProLiant DL380 G6 Equipo Cantidad Discos Duros 2 Capacidad 1 TB Discos en espejo 1 TB Tabla 2. Características de la instalación del Servidor. Se tomó en cuenta la configuración de los discos duros en espejo para evitar problemas de respaldo en un futuro, se utilizó la Tecnología en RAID. X.II.II Configuración de los discos duros en RAID 1 Comúnmente llamado “mirroring” esta tecnología es utilizada para garantizar los datos: en caso de que falle un disco duro, es posible continuar las operaciones en el otro disco duro sin ningún problema. En la configuración de los discos duros en RAID 1 se utilizó un software de HP “HP SmartStart CD” que consiste en un método de un único servidor que utiliza un CD para instalar el software del sistema, consiguiendo así un servidor perfectamente integrado y garantizando la máxima fiabilidad y compatibilidad. 29 Figura 9. Configuración de los discos duros en espejo mediante RAID 1. X.II.III Instalación del rol de servicio del Active Directory Se comenzó a instalar el rol de servicio del Active Directory, como se muestra a continuación. Figura 10. Instalación del rol de servicio del Active Directory. 30 Como primer paso se empezó a configurar el nombre del servidor como “ENTURA”, posteriormente se agregó el rol de servicio del Active Directory. Una vez instalado el componente, se configuró una ip estática del servidor con las siguientes direcciones establecidas por la empresa: Figura 11. Parámetros de red establecidos por ENTURA. X.II.IV Instalación de controlador de dominio Se procedió a instalar el controlador de Dominio mediante el comando “DCPROMO”, entre los puntos principales de esta instalación se citan a continuación. 31 Figura 12. Instalación del controlador de dominio médiate el comando “DCPROMO”. Una vez ejecutado el comando “DCPROMO” se comenzó a crear un nuevo dominio y un nuevo Bosque llamado UNIONCOOP.net, con las funciones a nivel Windows Server 2008 R2 que soporta equipos más actualizados como el Windows 7 y 8. Figura 13. Instalación del controlador del dominio. 32 Figura 14. Configuración de la contraseña del dominio. Se configuró la contraseña del dominio con las especificaciones de seguridad, para salvaguardar el servidor de la empresa. Entre las consideraciones que fueron tomadas son: Mayor de 8 caracteres. Combinación de letras mayúsculas y minúsculas. Caracteres especiales. X.II.V Configuración de servidor DNS Un servicio DNS es un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarquía de dominios. 33 Figura 15. Configuración del servidor DNS. En la configuración de servicio del DNS se empezó agregando una “nueva zona inversa” dentro del asistente “DNS manager” tal como se muestra en la figura 16. Figura 16. Instalación de la nueva zona DNS. 34 Posteriormente se eligió como “zona principal” por ser el único servidor instalado, se habilito el protocolo versión 4, y se configuró el rango de direcciones como “10.11.7” los cuales corresponde los tres segmentos de la ip del servidor. Una vez finalizada la tarea, se crea dos archivos de zona inversa tal como se indica en la imagen. Figura 17. Archivos de zona inversa. Adicionalmente se crea un nuevo “PTR” (puntero), la cual se encarga de traducir las direcciones “TCP/IP” conocidas a los nombres de computadoras. Es decir el servidor DNS escanea la lista de registros PTR en la zona de búsqueda inversa para un registro que se asigna a la dirección TCP/IP y devuelve el nombre de huésped de mapeo de esa dirección en el registro PTR, al programa solicitante. 35 Se adiciona el nombre del dominio como “UNIONCOOP.net”, por último se agregan las ip´s del DNS de la compañía “ENTURA” y se realiza una prueba en el símbolo de sistema con el comando “nslookup” para verificar la configuración correctamente del DNS. X.II.VI Creación de cuentas de usuarios al dominio “ENTURA” Se procedió a crear las cuentas para cada uno de los usuarios del dominio UNIONCOOP.net empleando un estándar para los nombres de usuario el cual se definió como: el primer nombre del usuario y después la primera letra del apellido, si existiera una coincidencia pues se tomará los dos nombres y la letra inicial del apellido. En la figura 18 se muestra la creación de un usuario siguiendo el estándar establecido. Figura 18. Creación de cuentas de usuario. 36 Figura 19 indicamos las configuraciones posteriores tal como el establecimiento de la contraseña establecido por el administrador, la cual se indica que el usuario no puede cambiar o modificar el usuario y contraseña. Figura 19. Establecimiento de contraseñas de cuenta de usuarios. X.II.VII Unir usuarios al domino Una vez finalizada la creación de los usuarios al Active Directory, se prosiguió unir los usuarios al dominio. Como primer paso se empezó a configurar por equipo, en Inicio, clic derecho, propiedades, Configuración avanzada del sistema, cambiar, unir dominio UNIONCOOP.net, ingresar el (usuario, contraseña), y reiniciar el equipo para que aplique los cambios establecidos. 37 Figura 20. Solicitud de Usuario y contraseña. Aquí se muestra el usuario JanetJ con su respetiva contraseña establecido por el administrador. En la figura 21 se indica que el usuario se ha unido correctamente al dominio. Y así se configuró en cada equipo de los usuarios creados al dominio. Figura 21. Usuario unido correctamente al dominio. 38 X.II.VIII Creación de grupos al dominio Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una sola unidad. Los grupos pueden utilizarse para asignar derechos administrativos, acceso a recursos de red, o, para distribuir correo electrónico. En el dominio “UNIONCOOP.net” se creó los grupos respectivos mencionados a continuación: Figura 22. Creación de grupos. Contact Center Atención a Clientes Soporte Técnico ATM´s. 39 Tecnologías de Información Desarrollo Implementación de Productos Infraestructura. Proceso Transaccional Proyectos Gestión de Proyectos Contabilidad Recursos Humanos. La configuración se realizó mediante el Asistente de usuarios y grupos del Active Directory, todos recibieron la configuración de Ámbito de Grupo: Global, Tipo de Grupo: Seguridad. Se establecieron así los parámetros porque todos va estar en un mismo dominio donde compartirán los mismos recursos de grupos y no tendrán permisos a nivel de administrador solamente como usuarios. 40 X.II.IX Creación de unidades organizativas Las unidades organizativas son contenedores de objetos para organizar objetos de diferentes tipos con propósitos administrativos. A continuación se muestra la creación de las unidades organizativas para los diferentes departamentos de “ENTURA” esto servirá para la mejor administración del dominio, compartición de recursos, control de seguridad, creación de políticas de Dominio. Se realizó la creación de las unidades organizativas dentro del bosque “UNIONCOOP.net”, como primera unidad principal se creó “ENTURA” después los siguientes departamentos tal como se indican en la figura 23. Figura 23. Creación unidades organizativas por departamento. 41 X.II.X Asignación de grupos a unidades organizativas Con motivos de mejorar la administración se procedió a asignar cada grupo con su respectiva unidad organizativa como se muestra a continuación, en una de las unidades organizativas. En la Figura 24 a la unidad organizativa Contact Center se le asignó sus correspondientes grupos de Atención a clientes, Soporte y ATM y así se realizó con cada una de las unidades. Figura 24. Asignación de Grupos a unidades organizativas. X.II.XI Asignación de cuentas de usuarios a grupos Posteriormente se continuó con la asignación de los usuarios a sus respectivos grupos, para facilitar diferentes tipos de configuraciones de seguridad. 42 Figura 25. Creación unidades organizativas por departamento. X.II.XII Crear carpetas compartidas Se generan carpetas para la administración adecuada de los usuarios de ENTURA. Se crean las siguientes carpetas compartidas para los departamentos los cuales se enlistan a continuación. Carpetas compartidas 43 Contact Center Proyectos TI Contabilidad Departamental Repositorio Organizacional Personal X.II.XIII Permisos de carpetas compartidas Los permisos se establecieron empleando criterios técnicos para el uso y administración de los recursos de red, entre los permisos tenemos: Lectura: Limita al usuario o al grupo a la visualización de archivos en la carpeta compartida. Colaborador: Permite al usuario o al grupo a ver todos los archivos, agregar archivos, y cambiar o eliminar los archivos que agregan. 44 Copropietario: Permite al usuario o al grupo ver, cambiar, agregar y eliminar archivos en la carpeta compartida. Tabla de recursos compartidos Nombre de recursos Compartidos Departamental Objetos Permitidos Permisos Grupos: Contact Center, Copropietario: Cada TI, Contabilidad y departamento puede proyectos. agregar quitar o Archivo Organizacional Personal Grupos: Contact Center, Colaborador: Todos TI, Contabilidad y puede agregar o quitar proyectos. archivos. Usuarios: Todo el Copropietario: personal de ENTURA. usuario puede agregar o quitar carpetas. Tabla 3. Permisos de recursos permitidos. 45 Cada X.III Asignación de objetos de directiva de grupo (GPO) a los usuarios de Active Directory .En entura se establecieron las siguientes políticas (GPO) por departamento: Área de Tecnología de Información: Establecer el título del explorador de Internet. Configurar el panel de control (Programas a instalar y quitar). Quitar iconos en escritorio. Establecer un fondo de escritorio determinado por Entura. Configuración de Actualización Automáticas (WSUS). Contact Center: Establecer el título del explorador de Internet. Quitar iconos en escritorio. Ocultar panel de control. Establecer un fondo de escritorio determinado por Entura. Configuración de Actualización automáticas (WSUS). Proyectos: Establecer el título del explorador de Internet. Configuración para escritorio remoto. Quitar iconos en escritorio. Establecer un fondo de escritorio determinado por Entura. 46 Configuración de Actualización automáticas (WSUS). Contabilidad: Establecer el título del explorador de Internet. Quitar iconos en escritorio. Establecer un fondo de escritorio determinado por Entura. Configurar el panel de control (Programas a instalar y quitar). Configuración de Actualización automáticas (WSUS). Establecer el título del explorador de Internet Se estableció la página de entura como predeterminado www.entura.com.mx, a todos los equipos de la empresa. Figura 26. GPO de establecer el título del explorador de Internet. 47 Quitar iconos en escritorio Para mejorar la administración adecuada de cada equipo se aplica este GPO para todos los usuarios de “ENTURA”. Figura 27. GPO de quitar iconos en escritorio. GPO de papel tapiz Con políticas de Selección de papel tapiz para los escritorios de los Equipos del dominio, y denegación de modificaciones en el papel tapiz del escritorio. Figura 28. GPO de papel tapiz. 48 En las empresas se demanda la estética, el orden, el obedecimiento a un mismo patrón lo cual se denomina “estandarización”. Este concepto fue aplicado con la ayuda de políticas (GPO) para que nos permita establecer un estándar en los escritorios de los equipos del dominio UNIONCOOP.net con el logo de la empresa y el bloqueo para la modificación de los escritorios. Esta política se configuro de forma que cuando el usuario no esté en el dominio tenga siempre la imagen en su escritorio, con el fin de evitar que la pantalla no aparezca sin fondo. GPO ocultar panel de control programas Esta opción impide a los usuarios usar el panel de control Programas de la vista de categorías y Programas y características de la vista clásica. Únicamente se aplicó a los equipos de Contact Center. Figura 29. GPO de ocultar panel de control. 49 X.IV Configuración de WSUS La configuración de los servicios de actualizaciones Automáticas en ENTURA se realiza con la finalidad que los equipos conectados al Active Directory se actualicen de forma automática mediante el dominio. El servidor realizará la tarea de buscar todas las actualizaciones disponibles directamente de Microsoft para los equipos conectados al Active Directory. Una de las principales ventajas de tener configurado los servicios de actualizaciones Automáticas son. Reduce el trabajo de estar actualizando por equipo. Mejora el ancho de banda ya que los equipos no la descarga de internet, las busca directo al servidor. Se descarga las actualizaciones una sola vez para todos los PC´s de nuestra red. En ENTURA se llevó a cabo las configuraciones de los equipos, dé todos los usuarios conectados al Active Directory se configuraron para que recibieran actualizaciones de forma automática a partir de las 00:00 hrs, para que no afecte sus horarios laborales, se tomó en cuenta la descarga de actualizaciones como el Office, sistema Operativo, Skype, Visual Basic, Windows server 2003, 2008, entre otros. Así mismo se estableció un GPO a nivel de dominio llamado WSUS, para que aplique en automático a todos los equipos unidos al dominio. En la figura 30 se 50 muestra el WSUS funcionando correctamente ya aplicado a los equipos de pruebas. Figura 30. Configuración final del WSUS. X.V Configuración del equipo de seguridad (SonicWALL) En la parte de seguridad de la red se utilizó el equipo que cuenta “ENTURA” el SonicWALL Firewall, para el acceso y seguridad de los equipos conectados. Como primer pasó se verifico cuáles son las páginas que pudieran visitar los usuarios. Después se prosiguió a restringir el acceso de sitios indebidos que no son de uso laboral tales como se indica en la figura 31: 51 Figura 31. Sitios bloqueados por el SonicWALL Firewall. Cuando los usuarios intenten ingresar algunos de estos sitios no les permitirán les denegará el acceso en automático, esto se hace con la finalidad que los usuarios no saturen la red y que no consuma mucho ancho de banda. Con la implementación de este firewall dentro de la Red, traerá grandes beneficios para los equipos conectados al Active Directory como: Análisis de tráfico histórico y en tiempo real. Disminución del tráfico en internet. Monitoreó constante a los conectados al dominio. 52 XI RESULTADOS OBTENIDOS Como resultados obtenidos en la primera fase de la implementación del Active Directory fueron: Se realizó la instalación de un dominio para el control y el acceso de los usuarios brindando seguridad y gestión para cada equipo conectado. Se instalaron GPO’s necesarias para el estricto control de seguridad básico que toda empresa debe de poseer para proteger su información e integridad del sistema de red. Se implementaron diferentes roles de servicios de Windows server 2008 R2, necesarios para la administración de la infraestructura tecnológica de ENTURA. tales como: Servicio de Controlador de Dominio, Servicio de Active Directory y WSUS. Estos servicios mencionados ayudaran a reducir los tiempos improductivos, mejorar y automatizar procesos, permitir la compartición de archivos y carpetas para una administración adecuada. Se realizó la configuración de los servicios de actualizaciones automáticos para la descarga de actualizaciones de cada sistema operativo. 53 XII CONCLUSIONES Y RECOMENDACIONES XII.I Conclusiones A continuación se exponen las conclusiones derivadas de los resultados obtenidos de la implementación de la primera fase de pruebas del Active Directory llevadas a cabo en la empresa ENTURA. El objetivo principal de la implementación del Active Directory como primera fase fue realizar las pruebas necesarias antes de su instalación a producción, para evitar riesgos y agilizar los tiempos en su desarrollo. Estas pruebas sirvieron como guía para la demostración del Active Directory a ENTURA ya que en un futuro se pretende realizar la implementación del Active Directory, pero por problemas en la administración ENTURA, tuvo que posponer el proyecto contemplándolo para meses posteriores. Se espera que con la implementación del Active Directory se tenga una gestión adecuada, y más estabilidad en la red “ENTURA”, para el beneficio de todos los empleados de la empresa. Así mismo la disminución del tráfico de internet logrando la satisfacción de los usuarios y brindando la seguridad al momento de conectarse a la red. En lo personal se adquirieron nuevos conocimientos acerca del proyecto, se puso en práctica lo aprendido en la universidad, y sin lugar a duda estas 54 prácticas me apoyaron a mi formación profesional e interactuar directamente con el ámbito laboral. XII.II Recomendaciones Como primer punto y para el buen funcionamiento del Active Directory se recomienda adquirir un servidor más actualizado, debido a que las tecnologías de información hoy en día demandan mayor capacidad, seguridad, convergencia, confiabilidad y escalabilidad. Cabe mencionar que el equipo que se utilizó no soporta versiones actualizadas de Windows, tales como Windows 2012 y 2012 R2, por problemas de controladores, sería recomendable la compra del equipo para la instalación de un Windows más actualizado que soporte los nuevos sistemas operativos que saldrán más adelante en el mercado. Las características del equipo se encuentran especificadas en los anexos. 55 ANEXOS Anexo 1 PowerEdge C2100 Rack Server EQUIPO O MATERIAL DESCRIPCIÓN Procesador: 2 sockets, 4 o 6 núcleos por procesador Familia de productos Intel® Xeon 5500/5600 con caché de nivel 2/nivel 3 de 4 MB/8 MB/12 MB. Chipset: Intel® 5500 Memoria: DDR3 de 2 GB/4 GB/8 GB/16 GB (1333 MT/s), 18 ranuras DIMM para hasta 192 GB de memoria con Figura 32. PowerEdge C2100 Rack Server. SDDC y ECC Controladoras RAID: Dell PERC H700 LSI MegaRAID SAS 9260-8i Compartimientos de unidades: 2 opciones básicas de disco duro (HD): Opción de 12 discos duros de 3,5": hasta 12 discos duros (HD) SAS (15.000), SAS NL (7.200), discos duros SATA (7.200), unidades de estado sólido (SSD) (SLC) 2 discos duros internos de 2,5": hasta 2 discos duros SATA (7.200), Controladoras de unidades: Controladoras internas: Tarjeta dependiente SAS LSI® 2008 LSI MegaRAID® SAS 9260-8i Memoria: DDR3 de 2 GB/4 GB/8 GB/16 GB (1333 MT/s), 18 ranuras DIMM para hasta 192 GB de memoria con SDDC y ECC Memoria ecológica Samsung® DDR3 de bajo voltaje de 4 GB/8 GB/16 GB disponible. Anexo 2 Windows Server 2012 R2 EQUIPO O MATERIAL DESCRIPCIÓN Las novedades en Windows Server 2012 R2 vienen enfocadas en los siguientes aspectos: Virtualización Almacenamiento Redes Gestión y automatización: Plataforma para web y aplicaciones Acceso y protección de la Figura 33. Windows Server 2012 información R2. Infraestructura para escritorios virtuales. Anexo 3 Glosario. WSUS (Windows Server Update Services): Provee actualizaciones de seguridad para los sistemas operativos Microsoft. Mediante Windows Server Update Services, los administradores pueden centralizar la distribución de parches a través de Actualizaciones Automáticas a todas las computadoras de la red corporativa. LAN (Red de área local): Es un grupo de equipos que pertenecen a la misma organización y están conectados dentro de un área geográfica pequeña a través de una red, generalmente con la misma tecnología (la más utilizada es Ethernet). DHCP (Protocolo de configuración de host dinámico): Es un protocolo que permite que un equipo conectado a una red pueda obtener su configuración (principalmente, su configuración de red) en forma dinámica (es decir, sin intervención particular). Sólo tiene que especificarle al equipo, mediante DHCP, que encuentre una dirección IP de manera independiente. El objetivo principal es simplificar la administración de la red. GPO (Objeto de directiva de grupo): Es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. IIS (Internet Information Services): Es un componente de Windows que permite convertir un sistema Windows en un servidor de Internet. Hyper-V: Es un programa de virtualización basado en un hipervisor para los sistemas de 64-bits con los procesadores basados en AMD-V o Tecnología de virtualización Intel (el instrumental de gestión también se puede instalar en sistemas x86). RemoteFX: Es una característica nueva incluida en Windows Server ® 2008 R2 con Service Pack 1 (SP1) que presenta un nuevo conjunto de mejoras de la experiencia de usuario final para Remote Desktop Protocol (RDP) que permite un rico entorno de escritorio dentro de la red corporativa. Windows PowerShell: Es una interfaz de consola (CLI) con posibilidad de escritura y conjunción de comandos por medio de guiones (scripts en inglés). Esta interfaz de consola está diseñada para su uso por parte de administradores de sistemas, con el propósito de automatizar tareas o realizarlas de forma más controlada. Access Point (Punto de Acceso): Es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. SonicWALL Firewall: Herramienta que controla contenidos, intrusión, ancho de banda a usar, con inspección profundo de paquetes. LDAP (Protocolo compacto de acceso a directorios): Es un protocolo estándar que permite administrar directorios, esto es, acceder a bases de información de usuarios de una red mediante protocolos TCP/IP. TCP/IP (Protocolo de control de transmisión/Protocolo de Internet): Es la base de Internet, y sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PC, minicomputadoras y computadoras centrales sobre redes de área local (LAN) y área extensa (WAN). Kerberos: Protocolo de autenticación de redes de ordenador creado por el MIT que permite a dos ordenadores en una red insegura demostrar su identidad mutuamente de manera segura. PTR (Puntero): Registro de recurso (RR) de un dominio que define las direcciones IP de todos los sistemas en una notación invertida. XIV BIBLIOGRAFÍA Borja Arques, (2011) Diferencia entre Windows Server 2008 standard, enterprise y datacenter. Disponible en: http://borjaarques.wordpress.com/2011/10/02/1-diferencias-entrewindows-server-2008-standard-enterprise-y-datacenter/ Del Prado David (2007) DNS Zona Inversa. Disponible en: http://daviddelprado.blogspot.mx/2007/12/dns-zona-inversa.html Di Loreto Pablo Ariel (2012) Implementación de WSUS en Windows Server 2008 R2. Disponible en: http://www.tectimes.net/tutorial-implementacion-de-wsus-en-windowsserver-2008-r2/ Lancett Peter (2013) Computación y electrónica. Disponible en: http://www.ehowenespanol.com/configurar-registro-ptr-busqueda-inversadns-como_122593/ Microsoft (2014) Creación de cuentas de usuario (Usuarios y equipos de Active Directory). Disponible en: http://technet.microsoft.com/es-es/library/cc732336.aspx Valdivia Arista Adriana,(2012) Gestión de Servidores. Disponible en: http://aristaavilatecsup.blogspot.mx/p/software-smartstart.html Vilches Ernesto, (2012) Directiva de http://freyes.svetlian.com/GPOS/GPOS.htm Grupos. disponible en: