Redes Microsoft Introducción al curso Docente: T/RT Gonzalo Martínez CETP – Tecnicatura en Redes y Software

Objetivo del curso • Lograr que el alumno desempeñe tareas de implementación, administración y mantenimiento de servidores Windows Server, además de la administración de un Dominio Windows, con la gestión de las terminales, y distintos aspectos de la interacción dominiousuarios

Contenido Temático • • • • • • • •

Versiones de Windows Server Concepto de Grupo de trabajo y Active Directory Servidor DNS Administración de un Controlador de Dominio Manejo de Políticas Permisos Manejo de unidades de Red Manejo de Tareas programadas

Metodología • Trabajaremos con un servidor físico para distintas pruebas. • Se mantendrá mayormente la proporción de 50% de la clase teórica y 50% practica

Evaluación y calificación • 2 parciales: a mitad del semestre y a final del mismo. • El primero vale el 40% de la calificación final, y el segundo el 60%. • Para obtener la calificación final, se suman los resultados de ambos parciales. • Se puede sumar hasta un 10% por tareas domiciliarias puntuales.

Evaluación y calificación • Se puede cambiar el parcial de 40% por un trabajo obligatorio practico. • No se tomaran en la calificación elementos como la participación o los trabajos en clase. • Se necesita un 60% o mas para aprobar la asignatura. De lo contrario, el alumno va a examen.

Preguntas…?

Windows Server • Windows Server es una linea de sistemas operativos, desarrollados por Microsoft, enfocados 100% al mercado de servidores.

Windows Server • Versiones: ▫ ▫ ▫ ▫ ▫ ▫ ▫

Windows 2000 Server Windows Server 2003 / 2003 R2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016

Windows Server • Cada generacion de Windows libera dos lineas de sistemas: de escritorio y de servidores • Dicha correspondencia indica algunos componentes de ambos sistemas, ya que la base es la misma, teniendo diferencias en las prestaciones.

Windows Server • Versiones: Sistema de Servidores

Sistema de Escritorio

Windows 2000 Server

Windows 2000 Workstation

Windows Server 2003 / 2003 R2

Windows XP

Windows Server 2008

Windows Vista

Windows Server 2008 R2

Windows 7

Windows Server 2012

Windows 8

Windows Server 2012 R2

Windows 8.1

Windows Server 2016

Windows 10

Windows Server • Debido a que hay conceptos que se repiten a lo largo de las versiones, en este semestre utilizaremos Windows Server 2003 y Windows Server 2008 R2. • Dichas versiones son maduras y estables, y tienen un consumo de recursos moderado, lo cual permiten que puedan ser probados virtualizando.

Windows Server • Requisitos de Windows Server 2003 ▫ CPU: x86 133 Mhz (Maximo 8 procesadores) ▫ RAM: 128 MB (Maximo 64GB, depende de la edicion) ▫ HDD: 3GB

Windows Server • Ediciones de Windows Server 2003: ▫ ▫ ▫ ▫

Standard Enterprise Datacenter Web

Windows Server • Requisitos de Windows Server 2008 ▫ CPU: x86 1.0 Ghz (2Ghz Recomendado) ▫ RAM: 1GB (2GB Recomendado) ▫ HDD: 10GB (40GB Recomendado)

Windows Server • Ediciones de Windows Server 2008: ▫ ▫ ▫ ▫

Standard Enterprise Datacenter Web

Servicios • Ambas versiones brindan los siguientes servicios: ▫ ▫ ▫ ▫ ▫ ▫ ▫ ▫

Archivos Impresión DNS Correo Electronico (Envio) VPN DHCP Active Directory Backups

Supuesto escenario… • Asumamos que tenemos una red con terminales (Windows XP, Windows 7 y/o Windows 8/8.1) • Cada usuario tiene su usuario y password en su terminal • No hay recursos de red

Supuesto escenario… • Tenemos las terminales 1, 2, 3 y 4, y los usuarios A, B, C y D • Cada usuario tiene su terminal asignada (A la 1, B la 2, C la 3 y D la 4)

Supuesto escenario • Surge que la terminal 1 falla, por lo tanto el usuario A debe usar la terminal 2, además del usuario B. • Se debe crear el usuario y contraseña de A nuevamente en la terminal 2 para que pueda conectarse y trabajar.

Supuesto escenario… • La empresa decide que el usuario B es imprescindible, por lo tanto debe tener acceso en cualquier terminal • Nuevamente, debo crear la cuenta de B en todas las demás terminales manualmente

Supuesto escenario… • Mas adelante, se decide que todos los usuarios deben tener redundancia en las terminales, posibilitando que cada usuario pueda usar cualquier terminal • Debo crear, nuevamente, de forma manual, las cuentas de A, B, C y D en las 4 terminales

Supuesto escenario… • También surge que se trae una terminal nueva, terminal 5, y un usuario nuevo, E • E trabajara solo en su terminal, pero deberá acceder a una carpeta compartida con A en la terminal 1, y necesitara imprimir en la única impresora de la oficina, que esta en la terminal 3, a nombre del usuario C

Supuesto escenario… • Debo crear la cuenta de E en las terminales 1 y 3, debido a que es la única forma de acceder a esos recursos remotamente

Supuesto escenario… • También se desea crear dos grupos: contadores y recepcionistas

• En contadores están los usuarios A, B y C, y en recepcionistas los usuarios D y E

Supuesto escenario… • Como se quiere que estos estén disponibles en todas las terminales, hay que crearlos manualmente • También se desea aplicar políticas a esos grupos, las cuales deben ser creadas manualmente en todas las terminales

Grupo de Trabajo • La estructura de trabajo mencionado hasta el momento se denomina “Grupo de Trabajo” (del ingles “Workgroup”) • El Grupo de Trabajo no centraliza ningún objeto • Debo crear los elementos de seguridad en cada terminal (usuarios, grupos, políticas, etc.)

Grupo de Trabajo • No tengo posibilidad de centralizar nada • Puedo compartir recursos básicos como impresión y archivos, siempre requiriendo usuarios y contraseñas en las maquinas host • No hay ninguna seguridad mas allá de usuarios y contraseñas

Grupo de Trabajo • El Grupo de Trabajo no limita nada a nivel de funcionalidad, simplemente organiza distintas secciones de una empresa (Oficina 1, Recepción, Talleres, etc.) • No hay impedimento para que un usuario de Oficina 1 acceda a un recurso de Recepción, siempre y cuanto tenga una cuenta local en la maquina con el recurso compartido.

Grupo de Trabajo • Además, presenta una importante limitación: • No puedo tener mas de 100 usuarios creados en el Grupo de Trabajo • Cada usuario en cada terminal cuenta como uno, ya que la Base de Datos de usuarios es independiente, por mas que sea el mismo usuario A en todas las terminales

Grupo de Trabajo • Esto quiere decir que si tengo 10 terminales, solo voy a poder registrar, por ejemplo, 10 usuarios en cada una, lo que me da 100 usuarios totales • En caso de crear un usuario numero 101, y querer acceder a un recurso, se tendrá el error “ha superado el limite máximo de conexiones"

Grupo de Trabajo • El Grupo de trabajo comparte recursos y servicios en una red entre iguales (Punto a punto, Peer to Peer, P2P) • Solo puede ser implementada en lugares físicos relativamente pequeños, de preferencia en redes de Área Local

Grupo de Trabajo • Presenta las siguientes ventajas: • Es fácil de implementar y diseñar • No requiere conocimientos avanzados de redes ni sistemas operativos • Es simple de usar en redes pequeñas donde no es necesaria seguridad en los datos a nivel profundo

Grupo de Trabajo • A su vez, presenta las siguientes desventajas: • Cada PC tiene su propia SAM, lo cual descentraliza la gestión de usuarios y grupos • Es complejo de administrar, ya que las replicas de cuentas se hacen manuablemente

Grupo de Trabajo • No tengo seguridad mas allá de las cuentas, las cuales pueden, por ejemplo, ser vulneradas con ingeniería social • Implementa protocolos no routeables, por lo tanto no supera la localización de la LAN

Grupo de Trabajo • En resumen podemos decir que: • Solo se comparten archivos e impresoras • No tengo seguridad mas que usuario y contraseña • Solo puedo tener 100 usuarios en total • La Base de Datos de Usuarios (llamada SAM) no es centralizada, sino local a cada terminal

SAM (Security Account Manager) • La base de datos de usuarios en Windows se llama SAM • Todo SO de Microsoft cuenta con una al instalarse • Almacena cuentas de usuarios y grupos • La SAM tiene una capacidad limitada

SAM (Security Account Manager) • También almacena políticas de Seguridad, aplicables a los grupos locales (gpedit.msc) • La SAM es única para cada terminal (no hay forma de compartirla vía red) • No centraliza objetos como carpetas compartidas, equipos, etc.

SAM (Security Account Manager) • La SAM nunca se elimina del PC • Por defecto se crean dos cuentas siempre: Administrador e Invitado (la cual queda deshabilitada por seguridad)

Protocolo de directorio • La solución a estos problemas de organización, mantenimiento y seguridad de la red, es implementar algún protocolo de Directorio

Protocolo de directorio • Un directorio es un servicio implementado bajo el protocolo LDAP (Lightweight Directory Access Protocol) • El protocolo provee una Base de Datos centralizada de recursos de red (usuarios, grupos, equipos, servidores, unidades organizativas, impresoras, entre otros)

Protocolo de directorio • Existen varias implementaciones del protocolo LDAP, destacando: • OpenLDAP (Linux) • eDirectory (Novell Netware) • Active Directory (Microsoft Windows Server)

Protocolo de directorio • Cabe destacar que si bien las implementaciones son basadas en LDAP, no tienen porque ser necesariamente compatibles entre si, y muchas veces cada implementación tiene sus agregados únicos que generan esa incompatibilidad.

Protocolo de directorio • En nuestro caso, nos centraremos en el trabajo con Active Directory de Microsoft

Active Directory • Active Directory es una implementación del protocolo LDAP, desarrollada por Microsoft, con distintos componentes agregados para facilitar la implementación, la administración y el mantenimiento de una red con terminales y servidores Microsoft . • Ademas de estar basado en LDAP, implementa un servidor DNS y un servidor Kerberos para la seguridad de la comunicación.

Active Directory • Active Directory solo puede ser instalado en un servidor de la familia Server de Microsoft (Windows NT 4.0 Server, Windows 2000 Server, Windows Server 2003/2008/2012/2016) • No hay posibilidad de instalarlo en un terminal (Windows XP, 7, 8)

Active Directory • Active Directory es una Base de Datos centralizada que gestiona servicios esenciales del SO y de la red: • Es un punto único para gestionar distintos objetos (Usuarios, aplicaciones, dispositivos, etc.) • Funciona como repositorio centralizado para la seguridad (autentificación y autorizaciones) • A su vez, también es una plataforma abierta que permite el desarrollo e integración con distintos sistemas

Active Directory • La principal característica de AD es que implementa una SAM centralizada, la cual puede ser accedida por distintos hosts de la red (tanto terminales como servidores)

Active Directory • AD esta conformado por objetos que van mas allá de simples usuarios y grupos (como impresoras, PC, servidores, terminales, entre otros) • También implementa una seguridad mucho mas fuerte, como cifradas de forma mas compleja (hash en lugar de encriptación) y se monitorean constantemente para evitar cambios indebidos o corrupción de datos

Active Directory • Finalmente, implementa protocolos routeables (TCP/IP, LDAP, Kerberos), permitiendo abarcar un dominio de red WAN por cualquier red publica disponible (Internet, MPLS, Data Express, Frame Relay, etc.)

Active Directory • Podemos resumir las ventajas de AD en las siguientes: • Permite centralizar una SAM para que las terminales autentiquen en un solo sitio, sin tener que replicar cuentas • Puedo tener de forma centralizada y administrada objetos mas allá de usuarios y directorios compartidos

Active Directory • La Base de datos del directorio tiene mucha mas seguridad respecto al uso de un Grupo de Trabajo • Al usar protocolos routeables, puedo definir un dominio con alcance mas allá del local, como metropolitano, nacional e incluso internacional. • Puedo centralizar documentos y otros archivos y configuraciones de usuarios implementando perfiles móviles

Active Directory • También puede presentar las siguientes desventajas: • Implementar un AD requiere conocimientos de protocolos, numeración IP, y administración de redes para su correcta administración • Se debe contemplar soluciones de redundancia, ya que una falla en el AD puede dejar inoperativa a la empresa

Active Directory • También puede presentar las siguientes desventajas: • Implementar un AD requiere conocimientos de protocolos, numeración IP, y administración de redes para su correcta administración • Se debe contemplar soluciones de redundancia, ya que una falla en el AD puede dejar inoperativa a la empresa

Active Directory • Al ser un servicio que puede contar con una complejidad alta, se recomienda, previamente, planificar y diseñar correctamente su implementación

Active Directory Services • Active Directory Services es un conjunto de servicios brindados por Windows Server, a partir de su version 2008, basados en tecnologias de Active Directory.

Active Directory Services • Active Directory Domain Services: es el servicio que gestiona la autenticacion y autorizacion de usuarios y equipos en un dominio de red. • Es el servicio Active Directory mas usado. • Hasta Windows 2003, AD hacia referencia a este servicio.

Active Directory Services • Active Directory Certificate Services: es un servicio que se encarga de emitir certificados para encriptar comunicaciones.

Active Directory Services • Active Directory Federation Services: es un servicio que se encarga de proveer acceso de SSO (Single Sing On) a diversos sistemas. • Por ejemplo, permite que un sistema que necesita usuario y contraseña, en lugar de solicitarlos, utilice los que uso el usuario para iniciar sesion.

Active Directory Services • Active Directory Lightweight Directory Services: Es un servicio que provee las funcionalidades basicas de Active Directory (Usuarios, grupos, unidades organizativas) para ser usado por aplicaciones. • No esta pensado para ser utilizado para usar con terminales directamente.